पिछले हफ्ते, सुरक्षा विशेषज्ञ अविनाश जैन ने सार्वजनिक डोमेन में Google कैलेंडर सेवा में सैकड़ों उपयोगकर्ता कैलेंडर (
समाचार , मूल
ब्लॉग पोस्ट ) की खोज की। ऐसे कैलेंडर खोज सेवाओं द्वारा अनुक्रमित किए जाते हैं, और Google में ही
inurl: https: //calendar.google.com/calendar; cid = जैसे सरल अनुरोध द्वारा उपलब्ध हैं।
कैलेंडर सेटिंग्स में एक प्राथमिक त्रुटि के कारण मीटिंग, कॉन्फ्रेंस कॉल और महत्वपूर्ण बातचीत के बारे में जानकारी सार्वजनिक हुई: विशिष्ट उपयोगकर्ताओं के साथ डेटा साझा करने के बजाय, उन्होंने कैलेंडर को सभी के लिए सुलभ बना दिया। Google ने कहानी पर टिप्पणी करते हुए कहा कि उनका इससे कोई लेना-देना नहीं था और उपयोगकर्ता की गतिविधियाँ स्वैच्छिक हैं। हालांकि, एक सप्ताह के बाद, अधिकांश खोज परिणाम अभी भी गायब हो गए।
यह पहली बार नहीं है जब इस तरह की समस्याओं पर चर्चा करते हुए, चरम को खोजने का प्रयास किया गया है: या तो इंटरफ़ेस के डेवलपर्स उपयोगकर्ताओं को गुमराह करते हैं, या उपयोगकर्ता खुद नहीं जानते कि वे क्या कर रहे हैं। और यह बिंदु बिल्कुल भी नहीं है कि किसे दोष देना है, लेकिन यह तथ्य कि डेटा सुरक्षा में सरल त्रुटियों को भी ठीक करने की आवश्यकता है। हालांकि वे जटिल कमजोरियों के रूप में दिलचस्प नहीं हैं। पिछले एक हफ्ते में, प्राथमिक मिसकल्चुलेशन के कई उदाहरण एक ही बार में जमा हुए हैं: लास्टपास पासवर्ड मैनेजर में, आईफोन लॉकस्क्रीन (फिर से!), साथ ही Google क्रोम एक्सटेंशन स्टोर में, जो दुर्भावनापूर्ण विज्ञापन ब्लॉकर्स की उपस्थिति की अनुमति देता है।
आइए iPhones में लॉकस्क्रीन के साथ शुरू करते हैं। शोधकर्ता जोस रोड्रिगेज ने पाया (
समाचार ) कि गर्मियों में iOS 13 पर आधारित डिवाइस लॉकिंग सिस्टम में एक छेद था, जब Apple के मोबाइल ओएस के नवीनतम संस्करण का बीटा परीक्षण किया गया था। तब उन्होंने Apple पर एक समस्या की सूचना दी, लेकिन iOS 13 पिछले हफ्ते बिना पैच के उत्पादन में चला गया। भेद्यता आपको फोन पर केवल संपर्कों को देखने की अनुमति देती है और डिवाइस तक भौतिक पहुंच की आवश्यकता होती है। वीडियो में लॉक स्क्रीन को बायपास करने की प्रक्रिया दिखाई गई है। संक्षेप में, आपको फोन कॉल करने की आवश्यकता है, एक संदेश के साथ कॉल का जवाब देने के लिए विकल्प का चयन करें, वॉइसओवर फ़ंक्शन चालू करें, वॉइसओवर फ़ंक्शन बंद करें, जिसके बाद संदेश में किसी अन्य प्राप्तकर्ता को जोड़ना संभव होगा। और फिर आपको किसी और के फोन पर संपर्कों की पूरी सूची मिलती है।
आईओएस के पूरे इतिहास में, ऐसी कई त्रुटियां हुई हैं। उसी रॉड्रिग्ज़ ने iOS
12.1 में कम से कम तीन समान समस्याओं की खोज की (वीडियो कॉल के लिए आने वाली कॉल को स्थानांतरित करें, जिसके बाद आप अन्य प्रतिभागियों को जोड़ सकते हैं, जो पता पुस्तिका तक पहुंच प्रदान करता है),
12 (एक ही वॉयसओवर फोन पर फ़ोटो तक पहुंच देता है) और
9.0-9.1 (सिरी वॉयस असिस्टेंट को कमांड के जरिए फोन तक पूरी पहुंच)। शोधकर्ता के अनुसार, नई समस्या iOS 13.1 में बंद हो जाएगी, जिसे महीने के अंत में जारी किया जाएगा।
लास्टपास पासवर्ड मैनेजर (
समाचार ,
बग्रेपोर्ट ) में थोड़ी अधिक जटिल समस्या की खोज की गई और उसे बंद कर दिया गया। Google प्रोजेक्ट ज़ीरो टीम के शोधकर्ता, टविस ओरमंडी ने ब्राउज़र में दर्ज अंतिम लॉगिन और पासवर्ड को चोरी करने का एक तरीका पाया। समस्या सरल है, लेकिन इसका संचालन काफी जटिल है: आपको उपयोगकर्ता को न केवल तैयार वेब पेज को लुभाने की जरूरत है, बल्कि उसे कई बार क्लिक करने के लिए भी मजबूर करना है, ताकि पासवर्ड स्वचालित रूप से हमलावर के रूप में दर्ज हो जाए। एक नई विंडो में एक पृष्ठ खोलने के लिए एक गैर-मानक (लेकिन उपयोग किया गया) स्क्रिप्ट में, ब्राउज़र के लिए LastPass एक्सटेंशन ने पृष्ठ URL की जांच नहीं की और अंतिम उपयोग किए गए डेटा को स्थानापन्न किया। 13 सितंबर को, भेद्यता को
बंद कर दिया गया
था ।
लास्टपास न्यूज़लेटर एक उपयोगी टिप प्रदान करता है: सुरक्षा प्रणाली स्थापित करना आराम करने का कोई कारण नहीं है। विशेष रूप से, आप Chrome ब्राउज़र में गलत ब्राउज़र एक्सटेंशन इंस्टॉल करके गलती कर सकते हैं। 18 सितंबर को, Google
ने क्रोम एक्सटेंशन्स कैटलॉग से दो प्लगइन्स को
हटा दिया जो आधिकारिक एडब्लॉक प्लस और uBlock ओरिजिनल ऐड ब्लॉकर्स की नकल करते हैं। नकली ब्लॉकर्स
AdGuard ब्लॉग पर विस्तार से वर्णित हैं।
नकली एक्सटेंशन पूरी तरह से मूल की कार्यक्षमता की नकल करते हैं, लेकिन कुकी भराई तकनीक को जोड़ते हैं। इस एक्सटेंशन को स्थापित करने वाले उपयोगकर्ता को कई ऑनलाइन स्टोरों के लिए पहचाना जाता था, क्योंकि वे एक रेफरल लिंक के माध्यम से आते थे। यदि स्टोर में खरीदारी की गई थी, तो एक्सटेंशन के लेखकों को "ग्राहक ड्राइव" के लिए कमीशन भेजा गया था। नकली अवरोधकों ने भी दुर्भावनापूर्ण गतिविधि को छिपाने का प्रयास किया: डेवलपर कंसोल को खोलने के बाद एक्सटेंशन स्थापित होने और बंद होने के केवल 55 घंटे बाद विज्ञापन शुरू हुआ। दोनों एक्सटेंशन को Google Chrome कैटलॉग से हटा दिया गया था, लेकिन डेढ़ मिलियन से अधिक उपयोगकर्ताओं ने पहले उनका उपयोग किया है। उसी AdGuard कंपनी
ने पिछले साल उपयोगकर्ता को ट्रैक करने की क्षमता के साथ पांच नकली एक्सटेंशन
की घोषणा की , कुल मिलाकर, 10 मिलियन से अधिक बार स्थापित किया गया।
डिस्क्लेमर: इस डाइजेस्ट में व्यक्त की गई राय कैस्परस्की लैब की आधिकारिक स्थिति से मेल नहीं खा सकती है। प्रिय संपादकों आमतौर पर स्वस्थ संदेह के साथ किसी भी राय का इलाज करने की सलाह देते हैं।