موبائل ایپ سیکیورٹی فرم گارڈس کوئر خطرات کو کم کرنے کے طریقوں کا تجزیہ کرتی ہے اور ہاں میں کہتی ہے
حال ہی میں ، میں نے پکسنپنگ کے بارے میں لکھا ہے ، ایک اینڈروئیڈ خطرے سے جو بدنیتی پر مبنی ایپس کو دوسرے ایپلی کیشنز سے حساس بصری ڈیٹا نکالنے کی اجازت دیتا ہے-جیسے ون ٹائم پاس ورڈز اور توثیق کے کوڈز-خصوصی اجازتوں کی ضرورت کے بغیر۔ اب ، گارڈس کوئر کے نام سے جانے والی ایک فرم جو موبائل ایپ سیکیورٹی حلوں میں مہارت رکھتی ہے ، نے کلیدی اقدامات کا خاکہ پیش کیا ہے جو ڈویلپر سسٹم کی کمزوریوں کو کم کرنے کے ل take لے سکتے ہیں۔
گارڈس کوئر کے چیف پروڈکٹ آفیسر ریان لائیڈ نے کہا ، "میلویئر ہمارے صارفین کے لئے برسوں سے خاص طور پر اینڈروئیڈ ماحولیاتی نظام میں ایک گرما گرم موضوع رہا ہے۔”
انہوں نے مزید کہا ، "اس کی بنیادی وجہ یہ ہے کہ اینڈروئیڈ ماحولیاتی نظام کھلا اور API سے مالا مال ہے: یہ ایپلی کیشنز کے خلاف مالویئر حملوں کا زیادہ خطرہ ہے۔”
پڑھیں: یانگو نے پاکستان میں پارٹ ٹائم ڈرائیوروں کے لئے فلیکس موڈ لانچ کیا
پکسنپنگ کیا ہے؟
پکسنپنگ ، جو اس سال کے شروع میں تعلیمی محققین نے سب سے پہلے بیان کی تھی ، اس طرح کا نشانہ بناتا ہے جس طرح سے Android اسکرین پر بصری ڈیٹا کو پیش کرتا ہے۔ جی پی یو ٹائمنگ میں اختلافات کا استحصال کرکے ، حملہ آور اسکرین پر رنگوں کا اندازہ لگاسکتے ہیں اور جو کچھ اور ایپ دکھاتا ہے اس کی تشکیل نو کر سکتے ہیں-2 ایف اے کوڈ سے لے کر متن کے ٹکڑوں تک۔
اس کو ملازمت دینے والا کوئی بھی اس کے بعد کسی آلے کی اسکرین پر دکھائی جانے والی حساس معلومات کو چھپ کر پڑھ سکتا ہے ، اور اس حملے کے لئے صارف کو صرف ایک بدنیتی پر مبنی ، بغیر اجازت کی درخواست کو انسٹال کرنے اور کھولنے کی ضرورت ہوتی ہے۔ چونکہ اس طریقہ کار کو اجازت کی ضرورت نہیں ہے ، لہذا یہ روایتی دفاع کو نظرانداز کرتا ہے اور اس کا پتہ لگانا مشکل ہے۔
ان ایپ سیکیورٹی
پاکستان کے اینڈروئیڈ ماحولیاتی نظام میں اینڈروئیڈ کے پرانے ورژن چلانے والے ایک قابل ذکر تعداد میں آلات شامل ہیں – پچھلے مہینے تک ، 17.3 ٪ صارفین اب بھی اینڈروئیڈ 11 کا استعمال کرتے ہیں ، اور 6.4 ٪ اینڈروئیڈ 9 پائی استعمال کرتے ہیں ، ایک مفت آن لائن اعدادوشمار کے آلے کے مطابق ، اسٹیٹ کاؤنٹر کے مطابق۔ مقامی ڈویلپرز کے لئے ، خاص طور پر فنٹیک ، ای کامرس اور مواصلات میں ، نئی تحقیق سسٹم کی تازہ کاریوں پر مکمل انحصار کرنے کے بجائے مضبوط ان ایپ سیکیورٹی کی ضرورت کو ظاہر کرتی ہے۔
مزید پڑھیں: ٹیمیں وائی فائی حاضری کی خصوصیت اور ہائبرڈ کام پاکستان میں
گارڈس کوئر نے نوٹ کیا ہے کہ گوگل آئندہ اینڈروئیڈ سیکیورٹی بلیٹن میں شمولیت کے لئے اصلاحات تیار کررہا ہے ، اور مشورہ دیتا ہے کہ اس دوران فعال اقدامات بہترین دفاع بنے ہوئے ہیں۔
محققین کا کہنا ہے کہ جدید ترین اینڈروئیڈ ورژن کے ساتھ تازہ کاری رکھنا کافی ہونا چاہئے ، لیکن انھوں نے صرف ایک محدود آلات کا تجربہ کیا۔
ڈویلپرز کے لئے اقدامات
ان کے بلاگ کی بنیاد پر ، گارڈز کوئر نے کاغذ میں محققین کے تفصیل سے بیان کردہ بنیادی اصولوں کے بعد پکسنپنگ حملے کو دوبارہ بنانے میں کامیاب رہا۔ اس کے بعد انہوں نے ایسے اقدامات کی نشاندہی کی جو Android صارف کے اعداد و شمار کو چوری کرنے والے اس طرح کے حملوں کا خطرہ کم کرسکتے ہیں ، اور اب دستیاب انتہائی موثر ٹول تلاش کرنے کے لئے محققین کے ساتھ تعاون کر رہے ہیں۔
ریان نے کہا ، "ہم نے محققین سے رابطہ کیا تاکہ ان کو یہ بتائیں کہ ہم نے بلاگ پوسٹ کو شائع کرنے سے پہلے اپنے ٹیسٹوں میں کیا تحقیق کی ہے۔” تاہم ، انھوں نے ابھی تک اپنے تمام نتائج کے لئے کوئی جواب نہیں دیا ہے۔
حساس ڈیٹا کی مرئیت کو محدود کریں
ایپس کو ڈیزائن کرنا تاکہ اہم معلومات – جیسے سیکیورٹی کوڈز یا ادائیگی کی تفصیلات – صرف مختصر طور پر یا صارف کی کارروائی پر ظاہر ہوتی ہیں ، پکسنپنگ کا مقابلہ کرنے کا ایک طریقہ ہے۔
انہوں نے کہا ، "آپ اپنی ایپ کے لئے سب سے واضح کام کرسکتے ہیں یہ ہے کہ اسکرین پر کسی بھی توسیع کی مدت کے لئے حساس معلومات ظاہر نہ کریں۔”
آن اسکرین دوروں کو کم کرنے سے حملہ آور کے مشاہدے کی کھڑکی کو مختصر کیا جاتا ہے۔ انہوں نے مزید کہا ، "جو کچھ ہمیں کبھی کبھی ملتا ہے وہ یہ ہے کہ بعض اوقات ایپ ڈویلپرز بھی اس کی نگرانی کرتے ہیں ، یہ سوچتے ہوئے کہ کوئی خطرہ نہیں ہے۔” "اگر آپ 30 سیکنڈ کے لئے مستند کوڈز کی نمائش کر رہے ہیں تو ، اس کو مرئی بنانا مشکل نہیں ہے ، لیکن یہ ایک تخفیف کی تکنیک ہے جس پر غور کرنے کے قابل ہے۔”
FLAG_SECURE
Android کا FLAG_SECURE ایک Android ڈویلپر آپشن ہے جو حساس معلومات پر مشتمل اسکرینوں کے دھوکہ دہی/غلط استعمال کو روکنے کے لئے ڈیزائن کیا گیا تھا۔ اگرچہ نظریہ طور پر اسے پکسنپنگ حملے کے خلاف دفاع کرنا چاہئے ، لیکن اس کے عمل کو پکسنپنگ کے ذریعہ استحصال کیا جاسکتا ہے ، کیونکہ معلومات ابھی بھی پیش کی گئی ہیں۔
ریان نے کہا ، "تاریخی طور پر ، جب ہم نے اینڈروئیڈ ماحولیاتی نظام میں حساس معلومات دیکھنے کے بارے میں سوچا ہے تو ، ہم نے ہمیشہ اسکرین ریکارڈنگ ٹیک کے معاملے میں اس کے بارے میں سوچا ہے ،” ریان نے مزید کہا ، اگر کسی کو بینکنگ ایپ استعمال کررہا ہے اور ایپلی کیشن میں سافٹ ویئر موجود ہے جو کسی کو اپنی اسکرین کو دور سے دیکھنے کی اجازت دیتا ہے تو ، فلیگ_سیکور اس بات کو یقینی بناتا ہے کہ صارف کی اسکرین کو ریموٹ ناظرین کے ذریعہ استعمال کیا جاتا ہے۔
تاہم ، یہ پکسنپنگ کے معاملے میں کام نہیں کرتا ہے کیونکہ یہ حملہ "مختلف تکنیکی پرت پر کام کرتا ہے جو مرئیت کی ترتیب کے نیچے کام کرتا ہے” ، اور گارڈز کوئر نے انتباہ کیا ہے کہ ڈویلپرز کو اس پرچم کو گہری دفاعی اقدامات کے ساتھ جوڑنا چاہئے۔
روایتی سرگرمی انجیکشن دفاع
سرگرمی کے انجیکشن ایک اور گارڈس اسکوائر ریسرچ پوسٹ کے مطابق حساس معلومات پر قبضہ کرنے یا صارف کو گمراہ کرنے کے لئے جائز ایپ کے اوپر غیر مجاز سرگرمیاں داخل کرنے کے کام ہیں۔ یہ "رابطوں یا پریس کو روک سکتے ہیں …. وہ معلومات اکٹھا کرسکتے ہیں جو صارف نے ان پٹ کیا تھا ،” حملہ آور کو معلومات فراہم کرتا ہے۔
ریان کا کہنا ہے کہ "دفاع کچھ حد تک پکسنگنگ کے خلاف کام کرسکتا ہے کیونکہ” یہ اس سائیڈ چینل کے ذریعہ ان خیالات کی مرئیت کو کنٹرول کرتا ہے۔ ” تاہم ، انہوں نے مزید کہا کہ یہ صرف ایک عارضی اقدام ہے ، اور یہ کہ اس حملے کو انجیکشن دفاع کو مسترد کرنے اور بنیادی پیش کردہ نظریہ تک پہنچانے کے لئے ڈھال لیا جاسکتا ہے۔
جب ایپ پس منظر میں ہو تو نظارے چھپائیں
گارڈس کوئر کی تحقیق سے پتہ چلتا ہے کہ جب کسی ایپ کو روک دیا جاتا ہے یا تبدیل ہوجاتا ہے تو مختلف ورژن میں سب سے قابل اعتماد طریقہ کسی ایپ کے حساس اجزاء کو پوشیدہ بنانا ہے ، جس سے کسی بھی اعداد و شمار کو بدنیتی پر مبنی اوورلیز کے ذریعہ کم کرنے کے امکانات کو کم سے کم کرنا چاہئے۔
ریان نے کہا ، "اس حملے کو کم کرنے کا بہترین طریقہ یہ ہے کہ ان سرگرمیوں اور نظریات کی پس منظر کی نمائش کو محدود کیا جائے جو حساس ہیں۔” انہوں نے مزید کہا ، "آپ اس پر پابندی لگاتے ہیں تاکہ جب ایپ پیش منظر میں نہ ہو تو یہ دکھائی نہیں دیتا ہے۔”
گارڈز کوئر نے متعدد مختلف اینڈروئیڈ ورژن کے ساتھ متعدد سیمسنگ مصنوعات پر ٹیسٹ کروائے تھے۔ انہوں نے مزید کہا کہ اگرچہ اس میں مختلف ماڈلز کے لئے مختلف غور و فکر کی ضرورت ہے کیونکہ یہاں مختلف قسم کے پلیٹ فارم موجود ہیں جو اینڈروئیڈ کا استعمال کرتے ہیں ، یہ سب اپنے کوڈ بیس اور زبان کے فریم ورک کے ساتھ ہیں ، لیکن وہ زیادہ تر وقت کام کرنے کے ل this یہ طریقہ حاصل کرنے میں کامیاب رہے۔
تاہم ، محققین کا کہنا ہے کہ یہ طریقہ مکمل طور پر قابل اعتماد نہیں ہے۔ جب اس کے بارے میں پوچھا گیا تو ، ریان نے کہا کہ ممکنہ طور پر ان کی تحقیق کے اہداف اور اصل کاغذی مصنفین کے اختلافات کا واجب الادا ہے ، "ان کی تحقیق کا ہدف ہمارے مقصد سے مختلف تھا … وہ ایک خطرے کو موجود ثابت کرنا چاہتے تھے … ہمارا کردار یہ تھا کہ ، ایک خطرے کی وجہ سے ہم اسے کیسے روکیں گے؟”
چھیڑ چھاڑ اور ریپیکنگ کے خلاف سخت
حملہ آور سیکیورٹی کے جھنڈوں کو غیر فعال کرنے کے لئے جائز ایپس میں ترمیم اور ان کی تپش کر سکتے ہیں۔ ریان نے کہا ، "ایک بار جب آپ (ڈویلپرز) میلویئر دفاعوں کو نافذ کرتے ہیں ، اگر وہ میلویئر کامیابی کے ساتھ کام نہیں کرسکتا ہے تو ، حملہ آور کیا کرتے ہیں وہ کیا کرتے ہیں وہ ایک ایپ لے کر ان دفاعوں کے بغیر اسے ریپیک کریں ، اور پھر کوشش کریں اور کسی کو اپنے فون پر انسٹال کرنے کی کوشش کریں۔”
"ہم اختتامی صارفین کو ان کے فون کی حفاظت کے بارے میں جاننے میں مدد نہیں کر رہے ہیں ، لیکن اگر آپ کو ایک ملٹی فیکٹر توثیق کی ایپ مل گئی ہے جو اسکرین پر ٹوکن دکھاتا ہے ، تو ، اگر آپ ہماری تجویز کردہ تکنیکوں یا نقطہ نظر کو نافذ کرتے ہیں تو ، آپ امید کرتے ہیں کہ ایپ کے آخری صارفین کو پہنچنے والے افراد کو نقصان پہنچا سکتے ہیں ، اور یہ کہتے ہیں کہ” مشترکہ ذمہ داری ماڈل "کے ذریعہ آپ کے ایپ کے آخری صارفین کو پہنچنے والے نقصان کو محدود کرسکتے ہیں۔
گارڈز کوئر نے رن ٹائم تحفظ ، تعی .ن اور پرتوں کی سفارش کی جو ایپلی کیشنز کی سالمیت کو برقرار رکھنے کے لئے چھیڑ چھاڑ کا پتہ لگاسکتی ہے۔ تاہم ، سب سے موثر مشورے ایک ہی رہتے ہیں: درخواستیں ڈاؤن لوڈ کرتے وقت محتاط رہیں۔
انہوں نے یہ نتیجہ اخذ کیا ، "20 سال پہلے ، انٹرنیٹ کو براؤز کرنے کے مترادف ہے ، ٹھیک ہے؟ محتاط رہیں کہ آپ کیا ڈاؤن لوڈ کرتے ہیں۔ لہذا یہ موبائل ماحولیاتی نظام کے لئے بھی سچ ہے۔”
ڈویلپرز کے لئے ، پیغام واضح ہے: اگر آپ کی ایپ حساس ڈیٹا دکھاتی ہے تو فرض کریں کہ کوئی دیکھ سکتا ہے۔ اور اس مفروضے کے ساتھ ، اپنے آپ سے پوچھیں کہ آخری صارف کی حفاظت کے ل you آپ کیا کرسکتے ہیں۔