حملہ سیکنڈ میں 2 ایف اے کو ختم کرسکتا ہے ، پلیٹ فارم کی یقین دہانیوں کی حدود کو بے نقاب کرتا ہے کہ ایک ایپ دوسرے کے ڈیٹا تک رسائی حاصل نہیں کرسکتی ہے
محققین کے ایک گروپ نے ایک نیا اینڈروئیڈ حملہ انکشاف کیا ہے جسے وہ پکسنپنگ کہتے ہیں۔ اس پر ملازمت کرنے والے حملہ آور کسی آلہ کی اسکرین پر دکھائے جانے والے حساس معلومات کو خفیہ طور پر پڑھ سکتے ہیں ، بشمول ون ٹائم پاس کوڈ۔ اس حملے کے لئے صارف کو آسانی سے انسٹال اور کھولنے کی ضرورت ہوتی ہے ، بغیر کسی اجازت نامے کی درخواست۔
امریکی یونینٹی پروفیسرز اپنے تحقیقی مقالے میں لکھتے ہیں ، "پکسل چوری کرنے والے حملے بدنیتی پر مبنی ویب سائٹوں کو متاثرہ ویب سائٹوں میں ظاہر ہونے والے حساس مواد کو لیک کرنے کے قابل بناتے ہیں۔” پکسنپنگ: پتھر کے دور سے باہر پکسل چوری کرنا۔
جب ٹارگٹ ایپ کھولی جاتی ہے تو کوئی بھی چیز چوری کی جاسکتی ہے۔ دو عنصر کی توثیق (2FA) کوڈز ، چیٹ پیغامات اور ای میل پیغامات سب کمزور ہیں۔
جبکہ موجودہ براؤزر کی تخفیفات نے آج زیادہ تر ویب سائٹوں پر پکسل کو چوری کرنے کو روکا ہے ، ان کا فریم ورک "ان تمام براؤزر پر مبنی تخفیفات کو نظرانداز کرتا ہے ،” اور غیر براؤزر ایپس سے پکسل کی اقدار کو لیک کرسکتا ہے ، جس کا ان کا کہنا ہے کہ اس سے پہلے نہیں کیا گیا ہے ، محققین ایلن وانگ ، کرسٹوفر ڈبلیو فلیچر ، اور ینگچن وانگ یونیورسٹی کے ینگچوفر ، اور یونیورسٹی وانگ یونیورسٹی کے وانگ ، اور ینگچن وانگ یونیورسٹی کا کہتے ہیں ، اور ینگچن وانگ یونیورسٹی کا کہنا ہے۔ یونیورسٹی آف کیلیفورنیا ، سان ڈیاگو ، واشنگٹن یونیورسٹی کے ڈیوڈ کوہلبرنر ، اور کارنیگی میلن یونیورسٹی کے ریکارڈو پکیگیلیلا۔
ایک وقت میں ایک پکسل
ایک بار جب صارف بدنیتی پر مبنی ایپ کھولتا ہے تو ، حملہ گوگل کے مستند جیسے ہدف ایپ کو اپنی برآمد سرگرمیوں کو شروع کرنے پر مجبور کرکے شروع ہوتا ہے۔ اس مثال میں ، یہ اس وقت تک انتظار کرتا ہے جب تک کہ 2 ایف اے کوڈ تازہ ہوجائے ، پھر ایک وقت میں اس کوڈ کو ایک پکسل بازیافت کرنا شروع کردے۔
پڑھیں: پاکستان کا وی پی این کننڈرم ڈیجیٹل معیشت کو متاثر کرسکتا ہے
حملہ حملہ آور کو دلچسپی کے انفرادی پکسلز پر گرافیکل آپریشن چلاتا ہے۔ ایک بار جب یہ ایک ہی پکسل کو الگ کردے تو ، یہ اس وقت تک انتظار کرتا ہے جب تک کہ پکسل رینڈرنگ شروع نہ ہوجائے ، اور اس کی پیمائش کرکے کہ ہر فریم کو رینڈر کرنے میں کتنا وقت لگتا ہے ، بدنیتی پر مبنی ایپ یہ بتا سکتی ہے کہ آیا مخصوص پکسلز ، مثال کے طور پر ، سفید یا غیر سفید ، کرداروں اور علامتوں کو دوبارہ تشکیل دینے کی اجازت دیتے ہیں۔
محققین نے پایا کہ ، "یہ ایسے ہی ہے جیسے بدنیتی پر مبنی ایپ اسکرین کے مشمولات کا اسکرین شاٹ لے رہی ہے جس تک اس تک رسائی نہیں ہونی چاہئے”۔
پہلا نہیں
نقطہ نظر 2023 میں GPU.ZIP حملوں سے ملتا جلتا ہے ، جس نے سائیڈ چینل کے حملوں کا غلط استعمال کیا: سیکیورٹی کے کارنامے جو حساس معلومات تک رسائی حاصل کرنے کے لئے کسی نظام کے ذریعہ نادانستہ طور پر لیک ہونے والے اعداد و شمار کا استعمال کرتے ہیں۔ ان کمزوریوں کو براؤزرز میں حملوں کو روکنے والی ویب سائٹوں نے پیچ کیا۔
پکسلز 6 سے 9 سے گوگل ڈیوائسز پر ٹیسٹوں میں ، محققین نے گوگل کے مستند سے 30 سیکنڈ میں مکمل چھ ہندسوں کے کوڈ برآمد کیے ، جس میں کامیابی کی شرح ماڈل کے ذریعہ مختلف ہوتی ہے (پرانے ماڈلز پر کوڈ کی بازیابی تیز تھی)۔
مزید پڑھیں: ایمنسٹی نے بڑے پیمانے پر ٹیلی کام کی نگرانی پر پاکستان کو پکارا
سیمسنگ کے گلیکسی ایس 25 پر ، ٹیم پیمائش میں شور کی وجہ سے 30 سیکنڈ کی کھڑکی سے نہیں مل سکی ، لیکن انھوں نے پایا کہ اوسطا ایک حملہ 14-26 سیکنڈ کے درمیان ہوا۔
اگرچہ چھوٹے علاقوں جیسے پاس کوڈ ہندسوں کو جلدی سے دوبارہ تشکیل دیا جاسکتا ہے ، لیکن لیک کی شرح معمولی ہے ، "تقریبا 0.6 سے 2.1” پکسلز فی سیکنڈ ، اس کا مطلب ہے کہ پوری اسکرین کی بازیافت ، جیسے جی میل ان باکس میں ، 10-25 گھنٹے لگ سکتے ہیں۔
محققین نے مشاہدہ کیا کہ یہ حملہ 1 than سے کم شفافیت کے ساتھ اوورلیز کا استعمال کرکے پوشیدہ رہنے کے لئے ڈیزائن کیا گیا ہے۔
اپنے پکسلز کی حفاظت کرنا
اپنی ویب سائٹ پر کثرت سے پوچھے گئے سوالات کے جوابات دیتے ہوئے ، محققین نے صارفین کو مشورہ دیا کہ وہ ان کے پکسلز کو محفوظ رکھنے کو یقینی بنانے کے لئے "جدید ترین Android پیچ دستیاب ہوتے ہی انسٹال کریں”۔
ڈویلپرز کے ل they ، انہوں نے یا تو حساس بصری مواد کو اسکرین پر نمودار ہونے یا حساس سرگرمیوں پر شفاف پرتوں کو محدود کرنے کی سفارش کی تاکہ یہ معلوم کیا جاسکے کہ کون سی دیگر ایپس کو کچھ معلومات تک رسائی حاصل کرنے کی اجازت ہے۔
محققین کے مطابق ، گوگل نے ستمبر میں جزوی تخفیف جاری کرکے اس مسئلے کو حل کرنے کی کوشش کی اور دسمبر میں ایک اضافی سیکیورٹی پیچ کی منصوبہ بندی کی ہے۔ ٹیک میں مہارت حاصل کرنے والے ایک میڈیا آؤٹ لیٹ نے اطلاع دی ہے کہ کمپنی نے جنگلی میں استحصال کا کوئی ثبوت نہیں دیکھا ہے۔
سیکیورٹی ماہرین کا کہنا ہے کہ حملے سے پلیٹ فارم کی یقین دہانیوں کی حدود کی نشاندہی ہوتی ہے کہ ایک ایپ دوسرے کے ڈیٹا تک رسائی حاصل نہیں کرسکتی ہے۔ ابھی کے لئے ، صارفین کو ان ایپس کے ساتھ زیادہ محتاط رہنے کی ضرورت ہوگی جو وہ ڈاؤن لوڈ کرتے ہیں۔