பல ஆண்ட்ராய்டு பயன்பாடுகளில் உள்ள தவறான உள்ளமைவுகள் 100 மில்லியனுக்கும் அதிகமான பயனர்களின் முக்கியமான தரவை கசியவிட்டன, அவை தீங்கிழைக்கும் (malicious) இலாபகரமான இலக்காக மாறும்.
"third-party clouds சேவைகளை பயன்பாடுகளில் உள்ளமைக்கும் மற்றும் ஒருங்கிணைக்கும் போது சிறந்த நடைமுறைகளைப் பின்பற்றாததன் மூலம், மில்லியன் கணக்கான பயனர்களின் தனிப்பட்ட தரவு அம்பலப்படுத்தப்பட்டது" என்று செக் பாயிண்ட்(Check Point ) ஆராய்ச்சியாளர்கள் இன்று வெளியிடப்பட்ட ஒரு பகுப்பாய்வில் தி ஹேக்கர் நியூஸுடன் (The Hacker News) பகிர்ந்து கொண்டனர்.
"சில சந்தர்ப்பங்களில், இந்த வகை துஷ்பிரயோகம் பயனர்களை மட்டுமே பாதிக்கிறது, இருப்பினும், டெவலப்பர்களும் பாதிக்கப்படக்கூடியவர்களாக இருந்தனர். தவறான உள்ளமைவுகள் பயனர்களின் தனிப்பட்ட தரவு மற்றும் டெவலப்பரின் உள் வளங்களை மேம்படுத்தும் வழிமுறைகள், சேமிப்பிடம் மற்றும் பலவற்றை ஆபத்தில் வைக்கின்றன."
அதிகாரப்பூர்வ Google Play Store ரில் கிடைக்கும் 23 Android applications களின் ஆய்வில் இருந்து இந்த கண்டுபிடிப்புகள் வந்துள்ளன, அவற்றில் சில 10,000 முதல் 10 மில்லியன் வரையிலான பதிவிறக்கங்களைக் கொண்டுள்ளன,Astro Guru, iFax, Logo Maker, Screen Recorder, மற்றும் T'Leva.
Check Point டின் கூற்றுப்படி, நிகழ்நேர தரவுத்தளங்கள் (Real-time database), push notification மற்றும் Cloud storage keys ஆகியவற்றை தவறாக உள்ளமைப்பதில் இருந்து சிக்கல்கள் உருவாகின்றன. இதன் விளைவாக
Emails, phone numbers, chat messages, location, passwords, backups, browser
histories மற்றும் photos ள்.
அங்கீகார தடைகளுக்குப் பின்னால் தரவுத்தளத்தைப் பாதுகாக்காததன் மூலம் Angolan taxi app T'Leva வின் பயனர்களுக்கு சொந்தமான தரவைப் பெற முடிந்தது என்று ஆராய்ச்சியாளர்கள் தெரிவித்தனர், இதில் ஓட்டுநர்கள் மற்றும் பயணிகளுக்கு இடையில் பரிமாறிக்கொள்ளப்பட்ட செய்திகள் மற்றும் ரைடர்ஸின் Full names, phone numbers , destination மற்றும் Pick-up locations.
மேலும் என்னவென்றால் பயன்பாட்டு டெவலப்பர்கள் Push notification களை அனுப்புவதற்கும் Cloud storage services களை நேரடியாக பயன்பாடுகளுக்கு அணுகுவதற்கும் தேவையான embedded keys உட்பொதித்திருப்பதை ஆராய்ச்சியாளர்கள் கண்டறிந்தனர். இது மோசமான டெவலப்பர் சார்பாக அனைத்து பயனர்களுக்கும் ஒரு முரட்டு அறிவிப்பை அனுப்புவதை எளிதாக்குவது மட்டுமல்லாமல், சந்தேகத்திற்கு இடமின்றி பயனர்களை Phishing பக்கத்திற்கு வழிநடத்துவதற்கும் கூட பயன்படுத்தப்படலாம், இதனால் அதிநவீன அச்சுறுத்தல்களுக்கான நுழைவு புள்ளியாக இது மாறும்.
பயன்பாடுகளில் Embedding cloud storage access keys களை உட்பொதிப்பது, மற்ற தாக்குதல்களுக்கான கதவைத் திறக்கிறது, அதில் ஒரு விரோதி கிளவுட்டில் சேமிக்கப்பட்டுள்ள எல்லா தரவையும் பிடிக்க முடியும் - இது Screen Recorder மற்றும் iFax ஆகிய இரண்டு பயன்பாடுகளில் காணப்பட்ட ஒரு நடத்தை, இதன் மூலம் ஆராய்ச்சியாளர்களுக்கு Screen Recording மற்றும் Faxed documents களை அணுகும் திறன்.
பொறுப்பான வெளிப்பாட்டிற்கு (Responsible disclosure) பதிலளிக்கும் விதமாக சில Apps கள் மட்டுமே அவற்றின் உள்ளமைவை மாற்றியுள்ளன என்று Check Point குறிப்பிடுகிறது, மற்ற Apps ளின் பயனர்கள் தொடர்ந்து மோசடி மற்றும் அடையாள திருட்டு (identity theft) போன்ற அச்சுறுத்தல்களுக்கு ஆளாக நேரிடும், மற்ற கணக்குகளுக்கான அணுகலைப் பெற திருடப்பட்ட கடவுச்சொற்களை அந்நியப்படுத்துவதை குறிப்பிட தேவையில்லை.
No comments:
Post a Comment