Blog single photo

வெளிப்படுத்தப்பட்டது: 4,000 Android பயன்பாடுகள் மில்லியன் கணக்கான கடவுச்சொற்கள், தொலைபேசி எண்கள் மற்றும் செய்திகளை அம்பலப்படுத்துகின்றன - ஃபோர்ப்ஸ்

தவறாக கட்டமைக்கப்பட்ட ஆயிரக்கணக்கான ஆண்ட்ராய்டு பயன்பாடுகள் முக்கியமான தரவை அம்பலப்படுத்துகின்றன, ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர்       கெட்டி இமேஜஸ் வழியாக சோபா படங்கள் / லைட்ராக்கெட்      2014 ஆம் ஆண்டில் கூகிள் கையகப்படுத்தியது, ஃபயர்பேஸ் என்பது மொபைல் தளமாகும், இது பயனர்களை விரைவாகவும் பாதுகாப்பாகவும் பயன்பாடுகளை உருவாக்க உதவுகிறது. கிளவுட்-ஹோஸ்ட் செய்யப்பட்ட நிகழ்நேர தரவுத்தளத்தைப் பயன்படுத்தி, பயனர்களிடையே தரவை எளிதாக சேமிக்கவும் ஒத்திசைக்கவும் உதவும் ஏராளமான டெவலப்பர்களுக்கான தேர்வு தயாரிப்பு தளமாக இதை நினைத்துப் பாருங்கள். இது குறுக்கு-தளம் ஒத்துழைப்பை ஒரு தென்றலாக மாற்றுகிறது, சேவையகமற்ற பயன்பாட்டு வளர்ச்சியை மக்களுக்கு கொண்டு வருகிறது, மேலும் பயனர் அடிப்படையிலான பாதுகாப்பில் வலுவாக உள்ளது. அது இருந்தால், டெவலப்பர்கள் எல்லாவற்றையும் பாதுகாப்பாக முதலில் கட்டமைக்கிறார்கள். கூகிள் ஃபயர்பேஸ் தரவுத்தளங்களின் பொதுவான தவறான உள்ளமைவுகள் கடவுச்சொற்கள், தொலைபேசி எண்கள் மற்றும் அரட்டை செய்திகள் உள்ளிட்ட முக்கியமான தகவல்களைப் பார்க்க விரும்பும் எவருக்கும் வெளிப்படுத்துகின்றன என்று கம்பாரிடெக்கின் புதிய ஆராய்ச்சி தெரிவிக்கிறது. நீங்கள் தெரிந்து கொள்ள வேண்டியது இங்கே. எண்களால் Android பயன்பாட்டு உள்ளமைவு பிழை சிக்கல் கூகிள் பிளே ஸ்டோரிலிருந்து 515,735 ஆண்ட்ராய்டு பயன்பாடுகளின் மாதிரியை பாப் டயச்சென்கோ தலைமையிலான காம்பரிடெக் பாதுகாப்பு ஆராய்ச்சி குழு ஆய்வு செய்தது. இவர்களில் 155,066 பேர் ஃபயர்பேஸைப் பயன்படுத்துகின்றனர். ஃபயர்பேஸைப் பயன்படுத்தும் மாதிரியிலிருந்து, அந்த பயன்பாடுகளில் சுமார் 11,730 அந்த ஃபயர்பேஸ் தரவுத்தளத்தை பகிரங்கமாக அம்பலப்படுத்துகின்றன என்பதை உறுதிப்படுத்திய டயச்சென்கோவுடன் நான் பேசினேன்.   மேலும் மேலும் துளையிட்டு, 9,014 ஆனது தரவைச் சேர்ப்பது அல்லது நீக்குவது உட்பட, அதை மாற்றுவது அல்லது பதிவிறக்குவது உள்ளிட்ட தரவை மாற்றியமைக்க சாத்தியமான தாக்குதல் செய்பவரை செயல்படுத்த தேவையான எழுத்து அனுமதிகளை உள்ளடக்கியது. எதைப் பற்றி பேசுகையில், காம்பரிடெக் பகுப்பாய்வு 4,282 பயன்பாடுகள் முக்கியமான தகவல்களை கசியவிடுவதாக தெரியவந்தது. அறிக்கையின்படி, அந்த வெளிப்படுத்தப்பட்ட தரவுகளில் 7 மில்லியனுக்கும் அதிகமான மின்னஞ்சல் முகவரிகள் மற்றும் கிட்டத்தட்ட அதே எண்ணிக்கையிலான அரட்டை செய்திகள் உள்ளன. 5 மில்லியன் தொலைபேசி எண்களுடன், 4.4 மில்லியன் பயனர்பெயர்கள் மற்றும் 1 மில்லியன் கடவுச்சொற்கள் உள்ளன.   இவை அனைத்தும் பெரிய எண்களாக இருப்பதால் அவை போதுமானவை, ஆனால் அவை சில கண்ணோட்டத்தில் வைக்கப்பட வேண்டும். மார்ச் 2020 இல், ஆண்ட்ராய்டு மற்றும் iOS முழுவதும், 1.5 மில்லியனுக்கும் அதிகமான பயன்பாடுகள் ஃபயர்பேஸ் இயங்குதளத்தைப் பயன்படுத்துகின்றன என்று மதிப்பிடப்பட்டுள்ளது. நீங்கள் பகுப்பாய்வு எண்களிலிருந்து விரிவாக்கினாலும், காம்பரிடெக் மொத்தம் 24,000 ஆண்ட்ராய்டு பயன்பாடுகளை அடைய முடிந்ததைப் போல, முக்கியமான தரவை கசியவிடக்கூடும் இதுபோன்ற உள்ளமைவு பிழைகள் மூலம், இது ஃபயர்பேஸைப் பயன்படுத்தும் எல்லா பயன்பாடுகளிலும் 1.6% மற்றும் கூகிள் பிளேயிலிருந்து பதிவிறக்கம் செய்ய கிடைக்கக்கூடிய எல்லா பயன்பாடுகளிலும் 0.94% மட்டுமே. ஃபோர்ப்ஷிலிருந்து மேலும் ஹேக்கர்கள் கண்டறிதலைத் தவிர்க்க இந்த ஆச்சரியமான கூகிள் கருவியை எவ்வாறு பயன்படுத்தினர் 128,000 டைம்ஸ் பை விண்டி வெளிப்படுத்தப்பட்ட ஃபயர்பேஸ் தரவுத்தள பயன்பாடுகளை வேட்டையாடுகிறது ஃபயர்பேஸ் பயன்பாட்டைக் குறிக்கும் உரை சரங்களுக்கான பயன்பாட்டு ஆதாரங்களை முதலில் தேடுவதன் மூலம் தரவுத்தளங்களை பகிரங்கமாக வெளிப்படுத்திய பயன்பாடுகளை காம்பரிடெக் ஆராய்ச்சியாளர்கள் கண்டறிய முடிந்தது. அங்கிருந்து, .json உடன் தரவுத்தள URL க்கு ஒரு கோரிக்கையைச் சேர்ப்பது, சேமிக்கப்பட்ட தரவுகளுக்காக ஃபயர்பேஸ் REST API வழியாக பொது தரவுத்தளங்களை அணுக உதவுகிறது. அணுகல் மறுக்கப்பட்ட பதில், இது பொது-அல்லாத வெளிப்பாட்டைக் குறிக்கும் என்பதால் ஆராய்ச்சியாளர்கள் பெற விரும்பினர், ஆனால் அறிக்கை காண்பித்தபடி, முழு தரவுத்தள உள்ளடக்கமும் அவை திரும்பி வந்தன. தவறான நேர்மறைகளுக்காக கைமுறையாக சோதிக்கப்பட்ட முக்கியமான தகவல்களை ஆராய்ச்சியாளர்கள் தேடினர். "அணுகப்பட்ட அனைத்து தரவும் அழிக்கப்பட்டன," ஆராய்ச்சியாளர்கள், ஆராய்ச்சி "வெள்ளை தொப்பி தரநிலைகள் மற்றும் நடைமுறைகளுடன் முழுமையாக இணங்குகிறது" என்பதை உறுதிப்படுத்தியது. தரவுத்தளங்களுக்கான எந்தவொரு எழுதும் அணுகலையும் வெளிப்படுத்த, ஒரு புதிய முனையை உருவாக்க பின்னர் அதை நீக்க ஒரு PUT கோரிக்கை பயன்படுத்தப்பட்டது. உள்ளமைவு பிழை ஆபத்தைத் தணித்தல் உள்ளமைவு பிழையைக் கண்டறியக்கூடிய அனைத்து கசிவு தரவுத்தள சிக்கல்களையும் போலவே, தணிப்பு ஆலோசனையும் மிகவும் எளிமையானது: தரவுத்தள உள்ளமைவை முதல் முறையாகப் பெறுங்கள். துரதிர்ஷ்டவசமாக, விஷயங்கள் முதலில் தோன்றும் அளவுக்கு அரிதாகவே இருக்கும். எனவே, சரியான தரவுத்தள விதிகளை அமல்படுத்துவதற்கும், உணர்திறன் தரவை அணுகுவதிலிருந்து அங்கீகரிக்கப்படாத அணுகலைத் தடுப்பதற்கும் இந்த விஷயத்தில் ஆராய்ச்சியாளர்களுக்கு வழங்கப்படும் தணிப்பு ஆலோசனை சரியானது. கூகிளின் ஃபயர்பேஸ் ஆவணத்தில் குறிப்பிடப்பட்டுள்ள "பாதுகாப்பு மற்றும் விதிகள்" வழிகாட்டுதல்களை பயன்பாட்டு டெவலப்பர்கள் பின்பற்ற வேண்டும் என்று பரிந்துரைப்பது ஒரு மூளையாக இருக்கக்கூடாது, ஆனால் அது இல்லை. இது எல்லா நேரங்களின் ஆன்லைன் தரவுத்தளங்கள் தவறாக உள்ளமைக்கப்பட்டு, தரவு பகிரங்கமாக கசிந்து வருவதற்கான அறிக்கைகளுக்கு வழிவகுத்ததால், இது மீண்டும் நேரம் மற்றும் நேரம் நிரூபிக்கப்பட்டுள்ளது. உண்மையில், இந்த ஆண்டின் தொடக்கத்தில், வியக்கத்தக்க 82% பாதுகாப்பு "பாதிப்புகள்" ஒரு வகை அல்லது மற்றொரு தவறான உள்ளமைவு பிழைகள் காரணமாக இருந்தன என்று தெரிவிக்கப்பட்டது. ஃபோர்ப்ஷிலிருந்து மேலும் இந்த சீன கூகிள் ஹேக் வீட்டிலிருந்து பாதுகாப்பாக செயல்பட்டது எப்படி டேவி விண்டர் சரி, இது கூகிள் ஃபயர்பேஸ் பிரச்சினை அல்ல, இது ஒரு டெவலப்பர் பிரச்சினை, இல்லையா? இங்கே பழி விளையாடுவது குறிப்பாக உதவியாக இருக்காது என்ற உண்மையைத் தவிர, அது கருப்பு மற்றும் வெள்ளை அல்ல. "தகவல் தொழில்நுட்பம் மற்றும் மென்பொருள் மேம்பாடு ஒரு செயல்பாட்டு செயல்முறை அல்ல என்று நினைக்காத எவருக்கும் இது எவ்வாறு இயங்குகிறது என்பது புரியவில்லை" என்று சைஜாக்ஸில் உள்ள சிஐஎஸ்ஓ இயன் தோர்ன்டன்-டிரம்ப் கூறுகிறார், "இது தவறு பற்றி அல்ல, நீங்கள் எவ்வாறு மீள்வது என்பது பற்றியது தவறு மற்றும் சிறப்பாக செய்யுங்கள். " பாதுகாப்பு நிபுணர் ஜான் ஓப்டெனக்கர் ஒப்புக் கொண்டு, "பாதுகாப்பான மென்பொருள் மேம்பாட்டு வாழ்க்கை சுழற்சி, இது செயல்பாட்டில் பாதுகாப்பை உட்பொதிப்பதால், பாதுகாப்பிற்கு மிகவும் தேவையான நேரத்தை திட்டமிட முடியும்" என்று கூறுகிறார். நாம் யாரையும் குற்றம் சாட்ட வேண்டுமானால், அல்லது அதற்கு பதிலாக, நேரம் முன் மற்றும் மையமாக இருக்க வேண்டும். பயன்பாட்டு பாதுகாப்பு பயிற்சியாளரும் திறந்த வலை பயன்பாட்டு பாதுகாப்பு திட்டத்தின் (OWASP) ஸ்காட்லாந்து அத்தியாயத்தின் இணைத் தலைவருமான சீன் ரைட், அது உறுதியாக உள்ளது. "நான் பலமுறை பார்த்த ஒரு விஷயம் என்னவென்றால், பல டெவலப்பர்கள் வழங்குவதற்கான நிலையான அழுத்தத்தில் உள்ளனர்," ரைட் விளக்குகிறார், "இதன் பொருள் அவர்கள் வழங்குவதற்கான குறுகிய பாதையை எடுப்பார்கள்." இதன் பொருள், பயன்பாட்டு டெவலப்பர்கள் அசல் ஆவணங்களை விட தொழில்நுட்ப செயலாக்கத்தின் தற்போதைய எடுத்துக்காட்டுகளைக் குறிப்பிடுவது அசாதாரணமானது அல்ல. "எடுத்துக்காட்டு சரியான மற்றும் பாதுகாப்பானதாக இருந்தால் இது ஒரு பிரச்சினை அல்ல, ஆனால் பல சந்தர்ப்பங்களில் இது அப்படி இல்லை. டெவலப்பர்கள் அவர்கள் என்ன செய்கிறார்கள் என்பதைப் புரிந்து கொள்ள வேண்டும், ஆனால் நேர அழுத்தங்களைக் கொடுக்கும் அவை கீழ் உள்ளன, இது பெரும்பாலும் அடைய முடியாது. " ஃபோர்ப்ஷேக்கர் உரிமைகோரல்களில் இருந்து பிரபலமான ஆண்ட்ராய்டு ஆப் ஸ்டோர் மீறப்பட்டது: டேவி விண்டரால் 20 மில்லியன் பயனர் நற்சான்றிதழ்களை வெளியிடுகிறது ஃபயர்பேஸ் தவறான உள்ளமைவு தரவு ஆபத்து குறித்து கூகிள் என்ன கூறுகிறது? கம்பாரிடெக் ஆராய்ச்சியாளர்கள் ஏப்ரல் 22 அன்று அறிக்கை கண்டுபிடிப்புகள் குறித்து கூகிளுக்கு விழிப்புணர்வு ஏற்படுத்தினர் மற்றும் அதற்கு பதிலளிக்கும் வகையில் பின்வரும் அறிக்கையைப் பெற்றனர்: "எங்கள் டெவலப்பர்கள் தங்கள் வரிசைப்படுத்தல்களை பாதுகாப்பாக உள்ளமைக்க உதவும் பல அம்சங்களை ஃபயர்பேஸ் வழங்குகிறது. டெவலப்பர்களுக்கு அவர்களின் வரிசைப்படுத்தல்களில் தவறான உள்ளமைவுகள் குறித்து அறிவிப்புகளை நாங்கள் வழங்குகிறோம், அவற்றை சரிசெய்வதற்கான பரிந்துரைகளை வழங்குகிறோம். பாதிக்கப்பட்ட டெவலப்பர்களை இந்த பிரச்சினைகளுக்கு தீர்வு காண நாங்கள் உதவுகிறோம்." நான் கூகிளையும் அணுகியுள்ளேன், மேலும் ஏதேனும் கருத்து வரவிருந்தால், அதற்கேற்ப இந்த கட்டுரையை புதுப்பிப்பேன். மேலும் வாசிக்க



footer
Top