नए ओपन सोर्स बग के कारण हजारों iOS ऐप्स हाइजैकिंग के प्रति संवेदनशील हो गए हैं
व्यापक रूप से उपयोग किए जाने वाले ओपन सोर्स सॉफ़्टवेयर उपयोगिता में हाल ही में खोजी गई कमज़ोरियों की एक श्रृंखला iOS और MacOS पारिस्थितिकी तंत्र के बड़े हिस्से के लिए बड़ी मुसीबत बन सकती है। संबंधित सुरक्षा अनुसंधान के अनुसार, संबंधित बग हज़ारों व्यापक रूप से उपयोग किए जाने वाले ऐप्स को प्रभावित कर सकते हैं, जिनमें TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook Messenger और कई अन्य लोकप्रिय प्रोग्राम शामिल हैं। जबकि ओपन सोर्स घटकों को स्वयं पैच किया गया है, प्रभावित ऐप्स के लिए DevOps टीमें निश्चित रूप से यह सुनिश्चित करने के लिए संघर्ष कर रही हैं कि उपयोगकर्ताओं को संभावित शोषण से बचाने के लिए उनके सिस्टम को ठीक से अपडेट किया जाए।
सुझाया गया पठन
सुझाया गया पठन
कोकोपोड्स में कमज़ोरियाँ पाई गईं , जो स्विफ्ट और ऑब्जेक्टिव-सी प्रोग्रामिंग भाषाओं में कोड किए गए सॉफ़्टवेयर प्रोजेक्ट के लिए व्यापक रूप से इस्तेमाल किया जाने वाला एक निर्भरता प्रबंधक है। निर्भरता प्रबंधक सॉफ़्टवेयर विकास प्रक्रिया में महत्वपूर्ण उपकरण हैं, जो सॉफ़्टवेयर पैकेजों के सत्यापन और क्रिप्टोग्राफ़िक हस्ताक्षर की अनुमति देते हैं। इस तरह के उपकरण के भ्रष्टाचार का स्पष्ट रूप से वेब के बड़े हिस्से पर बड़ा (और बुरा) प्रभाव पड़ता है।
संबंधित सामग्री
संबंधित सामग्री
कोकोपॉड बग की खोज ईवीए इंफॉर्मेशन सिक्योरिटी, एक साइबरसिक्यूरिटी और पेनटेस्टिंग फर्म के शोधकर्ताओं ने की थी । बग 2014 में हुए एक अपूर्ण कोकोपॉड सर्वर माइग्रेशन का परिणाम हैं, जिसके कारण हज़ारों सॉफ़्टवेयर पैकेज "अनाथ" हो गए। सिस्टम में सुरक्षा कमियों के कारण, उन पैकेजों को आसानी से किसी बुरे व्यक्ति द्वारा नियंत्रित किया जा सकता था और (काल्पनिक रूप से) आपूर्ति श्रृंखला हमलों को अंजाम देने के लिए इस्तेमाल किया जा सकता था जो उन पर निर्भर कॉर्पोरेट सॉफ़्टवेयर प्रोजेक्ट में दुर्भावनापूर्ण कोड अपडेट पेश कर सकते थे। शोधकर्ता इस स्थिति को इस तरह से समझाते हैं:
2014 की माइग्रेशन प्रक्रिया ने हजारों अनाथ पैकेज (जिनके मूल स्वामी अज्ञात हैं) को छोड़ दिया, जिनमें से कई अभी भी अन्य पुस्तकालयों में व्यापक रूप से उपयोग किए जाते हैं। कोकोपॉड्स स्रोत कोड में उपलब्ध एक सार्वजनिक एपीआई और एक ईमेल पते का उपयोग करके, एक हमलावर इनमें से किसी भी पैकेज पर स्वामित्व का दावा कर सकता है, जो तब हमलावर को मूल स्रोत कोड को अपने स्वयं के दुर्भावनापूर्ण कोड से बदलने की अनुमति देगा...हमने जो कमजोरियाँ खोजी हैं, उनका उपयोग निर्भरता प्रबंधक और किसी भी प्रकाशित पैकेज को नियंत्रित करने के लिए किया जा सकता है। डाउनस्ट्रीम निर्भरता का मतलब यह हो सकता है कि पिछले कुछ वर्षों में हजारों एप्लिकेशन और लाखों डिवाइस उजागर हुए हैं।
तीनों बग्स को पैच कर दिया गया है, लेकिन उनकी गंभीरता और यह तथ्य कि उन्हें नौ साल तक खुला छोड़ दिया गया था, निश्चित रूप से बहुत सारी सॉफ्टवेयर टीमों को रात भर जागते रहने पर मजबूर कर रहा है। Apple इस गड़बड़ी के सबसे आगे और केंद्र में है, इसका कारण यह है कि कई iOS और MacOS ऐप स्विफ्ट और ऑब्जेक्टिव-सी दोनों भाषाओं का उपयोग करके कोड किए गए हैं, जिससे वे विशेष रूप से खेल में समस्याओं के प्रति संवेदनशील हो जाते हैं। शोधकर्ता लिखते हैं कि बग "हजारों" या "लाखों" ऐप्स को प्रभावित कर सकते हैं, और "मोबाइल ऐप इकोसिस्टम पर हमला लगभग हर Apple डिवाइस को संक्रमित कर सकता है, जिससे हजारों संगठन विनाशकारी वित्तीय और प्रतिष्ठा संबंधी नुकसान के प्रति संवेदनशील हो सकते हैं।"
शोधकर्ताओं का कहना है कि उन्हें अभी तक ऐसा कोई सबूत नहीं मिला है जो यह सुझाव दे कि ऐप्स वास्तव में समझौता किए गए थे। हालाँकि, अगर कुछ थे, तो यह स्पष्ट रूप से उपयोगकर्ताओं के लिए बड़ी परेशानी का कारण बन सकता है। शोधकर्ताओं ने नोट किया कि चूँकि कई ऐप्स "उपयोगकर्ता की सबसे संवेदनशील जानकारी तक पहुँच सकते हैं: क्रेडिट कार्ड विवरण, मेडिकल रिकॉर्ड, निजी सामग्री," एक साइबर अपराधी समझौता किए गए पॉड्स के माध्यम से ऐप्स में कोड इंजेक्ट कर सकता है, जिससे उन्हें "लगभग किसी भी दुर्भावनापूर्ण उद्देश्य के लिए इस जानकारी तक पहुँचने में सक्षम बनाया जा सकता है - रैनसमवेयर, धोखाधड़ी, ब्लैकमेल, कॉर्पोरेट जासूसी।"
शोधकर्ताओं ने कॉर्पोरेट डेवलपर्स से अपने उत्पादों की समीक्षा करने और "अपने एप्लिकेशन कोड में प्रयुक्त ओपन सोर्स निर्भरता की अखंडता को सत्यापित करने" का आग्रह किया है, जिससे यह सुनिश्चित हो सके कि उनके सिस्टम और उनके ग्राहक उजागर न हों।
ओपन सोर्स सॉफ़्टवेयर में होने वाली सुरक्षा कमियाँ सर्वविदित हैं। वाणिज्यिक सॉफ़्टवेयर उद्योग अपने वाणिज्यिक उत्पादों के निर्माण के लिए FOSS पर निर्भर करता है, लेकिन पूरे इंटरनेट पर आधारित मुक्त सॉफ़्टवेयर पारिस्थितिकी तंत्र को मजबूत करने और सुरक्षित करने पर बहुत कम समय खर्च किया जाता है। अंतिम परिणाम, जैसा कि अनुमान लगाया जा सकता है, अच्छे नहीं हैं।
गिजमोदो ने टिप्पणी के लिए एप्पल से संपर्क किया है तथा यदि एप्पल से कोई प्रतिक्रिया मिलती है तो इस कहानी को अपडेट कर दिया जाएगा।