15 दिन में सà¥?तनों का आकार बढाने के आसाà
অ্যাপল তার অ্যাপ স্টোর মার্কেটপ্লেসে সন্দেহজনক মোবাইল অ্যাপলিকেশনের বিরুদ্ধে ক্রমবর্ধমান চ্যালেঞ্জের মুখোমুখি হচ্ছে।
গত দুই মাসে, গবেষকরা হাজার হাজার অ্যাপস খুঁজে পেয়েছে যা iOS ডিভাইসগুলি থেকে সম্ভাব্য তথ্য চুরি করেছে।
যদিও অ্যাপ্লিকেশনগুলি ছিল তথ্য চুরি না, নিরাপত্তা বিশেষজ্ঞরা এটা আক্রমণকারীদের তাদের কাজ করতে তাই কনফিগার করার জন্য তুচ্ছ হবে বলেছে।
[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]নিরাপত্তা কোম্পানিগুলি দ্বারা সতর্ক হওয়ার কারণে আপেল কিছু প্রভাবিত অ্যাপ্লিকেশন মুছে ফেলেছে তবে সমস্যাগুলি অ্যাপ স্টোরের বছরের দীর্ঘস্থায়ী খ্যাতিকে উচ্চমানের এবং ম্যালওয়ার মুক্ত হিসাবে দমন করার হুমকি দেয়। অ্যাপলের কর্মকর্তারা কোনও তাত্ক্ষণিক মন্তব্য করেননি।
"আইফোনের বিরুদ্ধে এবং আইওএসের বিরুদ্ধে আক্রমণের এই নতুন তরঙ্গটি আমরা দেখতে পাচ্ছি", একটি সাক্ষাৎকারে ফায়ারআইয়ের মোবাইল সফটওয়্যার ইঞ্জিনিয়ার পিটার গিলবার্ট বলেন।
হ্যাকারদের হাত থেকে কর্মচারীদের মোবাইল ডিভাইসগুলিতে প্রবেশ করানো কর্পোরেট ডেটা এবং পাসওয়ার্ডগুলি পালন করার জন্য পরিচালিত উদ্যোগের জন্য উদ্বেগের বিষয়।
আপেল তার স্টোরের ডেভেলপারদের দ্বারা জমা দেওয়া অ্যাপ্লিকেশন পর্যালোচনা করে। এই প্রক্রিয়াটি কিছুটা ডেভেলপারদের হতাশ করেছে, যারা অভিযোগ করেছে যে প্রক্রিয়াটি খুবই ধীর।
উপরের দিকটি হল অ্যাপ স্টোরের অ্যান্ড্রয়েড ডিভাইসের জন্য গুগল প্লে স্টোরের ম্যালওয়ারের সাথে একই সমস্যা ছিল না।
তবে হ্যাকাররা এখন "প্রকৃতপক্ষে এই বৈধ চ্যানেলগুলিতে অ্যাপ স্টোরের প্রচুর সংখ্যক অ্যাপ্লিকেশন পেতে এবং সেখানে যেসব বাধাগুলি প্রবাহিত করা হয়েছে সেগুলি শেষ করার উপায় খুঁজছি," গিলবার্ট বলেন।
এই প্রচেষ্টার মূলত এক জায়গায় কেন্দ্রীয়ভাবে প্রদর্শিত: চীন ।
বুধবার, ফায়ারএই বলেছে যে এটি অ্যাপ স্টোরের ২800 টি অ্যাপ এবং চীনা সংস্করণে আবিষ্কৃত হয়েছে যার মধ্যে রয়েছে বিজ্ঞাপনগুলি বিতরণ করা একটি সম্ভাব্য ক্ষতিকারক কোড লাইব্রেরি।
অ্যাড লাইব্রেরি, মোবিসেজ এসডিই, একটি চীনা কোম্পানী নামক adSage নামক। গ্রন্থাগারটি ডেভেলপারদের দ্বারা অ্যাপ্লিকেশনগুলির মধ্যে অন্তর্ভূক্ত করা হয়েছে, যেগুলি অজ্ঞাত ছিল যে এটিতে ডেটা চুরি করার ক্ষমতা ছিল। ফায়ারআইই এই স্কিমটির নামকরণ করে iBackDoor।
গিলবার্ট বলেন যে বিজ্ঞাপন লাইব্রেরি একটি দূরবর্তী সার্ভার থেকে জাভাস্ক্রিপ্ট লোড করতে সক্ষম ছিল। এটি তখন স্ক্রিনশট নিতে, অডিও ক্যাপচার করা বা ডিভাইসের অবস্থান নির্ণয় করা সম্ভব হবে।
অ্যাড্রেস, বেইজিং ভিত্তিক, মন্তব্যের জন্য অবিলম্বে পৌঁছাতে পারেনি। এর পর থেকেই মোবিএসেজ এসডিকি'র একটি আপডেটেড সংস্করণ প্রকাশ করা হয়েছে, যা ব্যাবহারের সামর্থ নেই।
গিলবার্ট বলেছিলেন যে কেউ কাউকে অ্যাডজেজের পণ্যটি নিয়েছেন, দূষিত ক্ষমতাগুলি যোগ করেছেন এবং তারপর ডেভেলপারদের জন্য এটি তৈরি করেছেন।
সর্বশেষ সন্ধান অ্যাপ স্টোরের অন্যান্য সাম্প্রতিক সমস্যায় আরও যোগ হয়েছে।
সেপ্টেম্বরের মাঝামাঝি সময়ে, পালো আল্টো নেটওয়ার্কে অ্যাপস এর Xcode ডেভেলপমেন্ট টুলের পরিবর্তিত সংস্করণটিতে রয়েছে 39 টি অ্যাপ। যে সংস্করণ, যা XcodeGhost ডাব করা হয়েছিল, এটি চলমান অ্যাপ্লিকেশনের জন্য লুকানো দূষিত কোড যোগ করতে পারে।
কয়েক দিন পরে, মোবাইল নিরাপত্তা সংস্থার অ্যাপ্লোরিটিতে XcodeGhost দ্বারা সংক্রমিত 476 টি অ্যাপস পাওয়া যায়। তারপর FireEye বলেন সমস্যা ছিল অনেক খারাপ: এটি XcodeGhost ধারণকারী 4,000 অ্যাপ্লিকেশন উন্মোচিত।
বড় প্রশ্ন অ্যাপগুলি অ্যাপল এর পর্যালোচনা বাইপাস করতে সক্ষম ছিল কিভাবে।
ডেভিড রিচার্ডসন, লোটআউট মোবাইল সিকিউরিটির সাথে একটি আইওএস বিশেষজ্ঞ বলেন, এটি প্রায়ই প্রথম নজরে এপ্লিকেশনটির অভিপ্রায় করা কঠিন।
এক্সকোডগহস্ত এবং মোবিসেজ এসডিকিতে নির্মিত অনেকগুলি দক্ষতা অ্যাড নেটওয়ার্ক বা অ্যাটালেক্স প্লাটফর্মের অ্যাড নেটওয়ার্ক দ্বারা ব্যবহৃত প্রযুক্তির জন্য অস্পষ্ট নয়, তিনি বলেন।
কিন্তু এটা স্পষ্ট ছিল যে Xcode এর জাল সংস্করণ অ্যাপল থেকে আসেনি, যা দুর্নীতিবাজ অভিপ্রায় একটি বড় tipoff ছিল, রিচার্ডসন বলেন।
MobiSage এসডিকে কেস আরো fuzzy হয়: বিজ্ঞাপন লাইব্রেরি কিছুই নির্দোষ, যা সম্ভবত অ্যাপলের স্টোরের একটি পাস দেয়, রিচার্ডসন বলেন।
এখনও, FireEye তার ব্লগ পোস্টে এটি "উচ্চ ঝুঁকি" হিসাবে ব্যবহার করে অ্যাপ্লিকেশন লেবেল।
পালো আল্টো নেটওয়ার্কে একটি নিরাপত্তা গবেষক ক্লাউড জিয়াও বলেছেন, নিরাপত্তার জন্য অ্যাপল কীভাবে পর্যালোচনা করে, সে সম্পর্কে রহস্য কী?
"কেউ জানে না যে তারা কীভাবে এটা করে", জিয়াও বলেন, যারা এক্সকোডগেস্টে ব্যাপক গবেষণা করেছেন।
কোড পর্যালোচনা করার জন্য কয়েকটি পদ্ধতি রয়েছে। স্ট্যাটিক বিশ্লেষণ কোডের পৃথক লাইন দেখায়, যখন গতিশীল বিশ্লেষণ দেখায় কিভাবে একটি অ্যাপ্লিকেশন আচরণ করে।
কিন্তু ম্যালওয়্যার লেখক দীর্ঘক্ষণ উন্নত কৌশলগুলি ব্যবহার করেছেন যাতে নিরাপত্তা স্ক্যান এবং কোড পর্যালোচনাগুলি বাদ দেওয়ার জন্য তারা কী করছে তা জেনে নিচ্ছে।
এক্সকোডের জাভাস্ক্রিপ্ট সংস্করণ ব্যবহার করে যদি কোনও একেকটি অ্যাপ্লিকেশনটি উন্নত করা হয় তবে তা সনাক্ত করতে সক্ষম হবে না।
এক্সকোডগেস্ট এবং মোবিসেজ এসডিকি সমস্যাগুলি দেখায় যে অ্যাপলের কোড রিভিউগুলি "না আমরা আগে চিন্তা হিসাবে নিখুঁত হিসাবে, "জিয়াও বলেন।
গোপনীয়তা এডভোকেস মুক্ত 'ডেটেক্ট' টুল মুক্ত করে যা নজরদারি ম্যালওয়্যার খুঁজে পায়
এই টুলটি একাধিক গোপনীয়তা গোষ্ঠীর একটি যৌথ প্রকল্প যা ম্যালওয়ার তদন্ত করে। সাংবাদিক ও মানবাধিকার কর্মীদের লক্ষ্যবস্তুতে ব্যবহৃত হয়।
অ্যাপ ম্যালওয়্যার মুক্ত রাখার জন্য অ্যাপেল মজুরীগুলি যুদ্ধ করে
অ্যাপল তার অ্যাপ স্টোর মার্কেটপ্লেসে সন্দেহজনক মোবাইল অ্যাপলিকেশনের জন্য ক্রমবর্ধমান চ্যালেঞ্জের সম্মুখীন হচ্ছে।
