Tətbiqləriniz Şəxsi məlumatlarınızı necə aşkar edə bilər

Hansı Film GörməK Üçün?

HəFtəNin Günü: Bazar ErtəSi ÇəRşəNbə Axşamı ÇəRşəNbə Günü Cümə Axşamı Cümə ŞəNbə Bazar Günü

Janr:  Fantastik Drama Komediya Triller Detektiv

Növ:  Kino   Sıra

GöstəRməK

MəNə E-Poçtla GöndəRin Saytda GöstəRin

Mənbə: Thinkstock

təbiət oğlan ric flair xalis dəyər

Dostlarınıza foto və mətn mesajları göndərmək üçün istifadə etdiyimiz mobil tətbiqetmələr hamımızın düşündüyümüz qədər təhlükəsizdirmi? Ən son - ancaq düşünəndə olduqca təəccüblü deyil - cavab verdin? Yəqin ki, yox. Görə tədqiqat nəşr olundu New Haven Universiteti Kiber Ədliyyə Tədqiqat və Təhsil Qrupu (cFREG) tərəfindən 968 milyon ağıllı telefon istifadəçisi tərəfindən istifadə edilən məşhur Android və iOS tətbiqetmələri çoxsaylı çatışmazlıqdan qaynaqlanan müxtəlif ciddi təhlükəsizlik problemlərinə, gizlilik pozuntularına və digər zəifliklərə həssasdır. ötürülən və ya saxlanılan zaman məlumatları qorumaq üçün əsas şifrələmə və identifikasiya.

CFREG, beş gün ərzində bir sıra videolarda ondan çox tətbiqdə tapdığı təhlükəsizlik problemlərini açıqlayacağını söylədi, Bazar günü göndəriləndən başlayaraq . (Qalanları qrupun bloqunda və YouTube kanalı .) Həftə ərzində qrup təhlükəsizlik problemlərini aşkarlayacaq və təsir etdikləri tətbiqləri müəyyənləşdirəcəkdir. Təhlükəsizlik məsələləri “düz mətndə mövcud olan şifrələri və şirkət serverlərində saxlanılan özəl məlumatları əhatə edir”. Kompüter elmləri üzrə dosent və CFREG-nin rəhbəri İbrahim “Abe” Bağqılı qeyd edir:

“Test edilmiş tətbiqetmələrdən istifadə etmiş və ya istifadə etməyə davam edən hər kəs, bəzi hallarda parolları da daxil olmaqla müxtəlif məlumatları əhatə edən məxfi pozulma riski altındadır. Bu tətbiqlər vasitəsilə ötürülən bütün məlumatların yalnız bir nəfərdən digərinə təhlükəsiz keçməsi lazım olsa da, məlumatların şifrələnmədiyi və orijinal istifadəçinin heç bir ipucu olmadığı üçün özəl rabitə əlaqələrinin başqaları tərəfindən görünə biləcəyini gördük. ”

İstifadəçi məkanları, parollar, söhbət qeydləri, şəkillər, videolar, səslər və eskizlər potensial olaraq sosial media, söhbət və tanışlıq tətbiqetmələri daxil olmaqla ondan çox tətbiqdə aşkar olunan zəifliklərdən istifadə edən birisi tərəfindən görünə bilər. CFREG qrupu tətbiqlərin hər birinin arxasındakı şirkətləri xəbərdar etməyə çalışdı, lakin bir çoxu inkişaf etdiricilərə və ya təhlükəsizlik qrupuna çatmağın birbaşa yolu olmadan dəstək üçün yalnız veb əlaqə forması təqdim edir.

Baggili, “Veb saytlarında mövcud olan dəstək əlaqə formlarını istifadə etməkdən başqa çarəmiz yox idi və əksər şirkətlər belə cavab vermədi. Bu, problemi daha da artırır - və mobil inkişaf etdiricilərin hələ də təhlükəsizliyə ciddi yanaşmadıqlarını göstərir. ” İlk video təhlükəsizlik istifadəçilərini və inkişaf etdiricilərini məlumatlandırmaq üçün zəifliklərin açıq şəkildə paylaşıldığını söyləyir. Keçən ilin yazında cFREG, WhatsApp və Viber-də zəifliklərini açıqladı və dünya səviyyəsində diqqət çəkdi və hər iki şirkət tətbiqlərinin təhlükəsizlik məsələlərini həll etdi.

Test üçün New Haven Universitetinin tədqiqatçıları Windows 7-nin Virtual Miniport Adapterindən istifadə edərək bir test şəbəkəsi yaratdı və HTC One (M8) Android telefonunu şəbəkəyə qoşdu. Test, həmçinin telefonla məlumat mübadiləsi aparmaq üçün şəbəkədən kənarda bir iPad 2 və Android telefonu tərəfindən göndərilən və alınan bütün trafikləri izləmək üçün Wireshark, NetworkMiner və NetWitness Investigator daxil olmaqla vasitələrdən istifadə etdi.

İlk videoda təsvir edilən testlər İnstagram, OkCupid və ooVoo'da zəifliklər tapdı. Məsələn, İnstagram, istifadəçi bazası tərəfindən 200 milyondan çox istifadəçi tərəfindən yüklənmiş və serverlərində şifrələnməmiş şəkilləri kimlik doğrulaması olmadan saxlayır. Ayrıca şəkilləri şifrələmədən ötürür. Videoda qeyd olunur ki, inkişaf etdiricilər məlumat təhlükəsizliyi və məlumatların məxfiliyi məsələləri ilə məşğul olmalıdırlar - müvafiq olaraq məlumatların etibarlı ötürülməsi və məlumatların təhlükəsiz saxlanılması. Bir çox tətbiqin hazırkı versiyaları, kənar şəxslərin istifadəçilərinin mobil tətbiqetmələri vasitəsilə paylaşdıqları foto və mesajları tapmağı asanlaşdırır və istifadəçi öz məxfiliyinin pozulduğunu bilmədən bu məlumatlara daxil ola bilər.

VentureBeat cFREG-nin zəif nöqtələr tapdığı öyrənildi təxminən iyirmi tətbiq Instagram, OkCupid, Friends with Words, Vine və Line, ooVoo, Tango, Kik, Nimbuzz, MeetMe, MessageMe, TextMe, Grindr, HeyWire, Hike, textPlus, MyChat, WeChat, GroupMe, Whisper və Voxer kimi digərləri daxil olmaqla . Baggili izah etdi VentureBeat bir çox tətbiqin foto, mətn mesajı və səs kimi məlumatları şifrələməməsi. Parollar da çox vaxt adi mətn şəklində saxlanılır, mesajlar şifrələnmədən ötürülür və fayllar şirkət serverlərində qorunmadan saxlanılır.

Baggili, bu tətbiqetmələrin bir çoxunun arxasındakı inkişaf etdiricilərin 'təhlükəsizliyi ciddi qəbul etmədiklərini' söylədi. O, qeyd edib ki, zəifliklərin hər hansı birinin qəsdən edildiyinə dair heç bir dəlil olmasa da, bu da istisna edilə bilməz. Hesabat mobil təhlükəsizliyə dair danışıqların mərkəzini vaxtından əvvəl iCloud hack edildiyi vaxtdan bəri hədəf alındığı yerdən - fərdi tətbiqetmələrin dizaynına və inkişaf etdiricilərin məlumatları etibarlı şəkildə saxlamaq və ötürmək üçün tətbiqetmə metodlarına ayırdığı diqqətə yönəldir. istifadəçilərin xüsusi məlumatlarının gizli qalmasını təmin etmək üçün ən əsas təhlükəsizlik tədbirləri belə. Bu həftə cFREG tərəfindən yayımlanan video seriyalarında mobil tətbiqetmə təhlükəsizliyi probleminin əksər insanların düşünmək istədiklərindən daha böyük olduğunu göstərməsi gözlənilir.

Aralarında bir milyarda yaxın istifadəçisi olan təsirlənmiş tətbiqlər milyonlarla istifadəçinin məlumatlarını ifşa edə bilər. İnşallah, təminatsız tətbiqləri müəyyənləşdirmək və zəif nöqtələr barədə araşdırma aparmaq, tətbiqetmələrini daha etibarlı hala gətirən inkişaf etdiricilər prosesinə başlayacaq və istehlakçıları açıq şəkildə təhlükəli görünməyən tətbiqetmələr vasitəsilə şəxsi məlumatlarını paylaşma riskləri barədə daha çox məlumat verəcəkdir. Əgər inkişaf etdiricilər həqiqətən istifadəçilərin məlumatlarının təhlükəsizliyi və məxfiliyinə ciddi yanaşmırlarsa, zəifliklərdən istifadə edilmədən əvvəl tətbiqlərinin qüsurlu dizaynlarını düzəltmək ən yaxşı mənada olacaqdır.

New Haven Universitetinin veb saytında, Baggili, təhlükəsizlik problemi olan tətbiqetmələrdən istifadə edən istehlakçıların gündəlik yeniləmələri yoxlamalarını və təhlükəsizlik testlərini təkbaşına aparmağı öyrənmələrini dəstəkləyir. 'Özünüzü sınamadan bu tətbiqetmələrin nə etdiyini bilmək üçün heç bir yol yoxdur' deyir.

Tech Cheat Sheet-dən daha çox:

• Bu Həftənin 4 Ən Böyük Video Oyunu Yayımları
• Budur Apple Rəqəmsal Cüzdanınızdakı Kredit Kartlarını necə qoruyacaq
• 3 Son Dəqiqə Apple Sızması: İşləyən iPhone 6, iWatch və daha çox şey