ஆப்பிள் iOS ‘ஜீரோ இன்டராக்ஷன்’ ஐபோன் பாதிப்புகள் கூகிள் பூஜ்ஜியத்திலிருந்து கூகிள் பாதுகாப்பு ஆராய்ச்சியாளர்களால் கண்டுபிடிக்கப்பட்டு அழிக்கப்பட்டன

ஆப்பிள் (Unsplash இல் மேதத் தாவூத் எடுத்த புகைப்படம்)

அனைத்து ஐபோன்களுக்கான இயல்புநிலை இயக்க முறைமையான ஆப்பிள் iOS, ஆறு முக்கியமான “ஜீரோ இன்டராக்ஷன்” பாதிப்புகளைக் கொண்டுள்ளது. கடுமையான பிழைகள் மற்றும் மென்பொருள் குறைபாடுகளை வேட்டையாடும் கூகிளின் உயரடுக்கு ‘திட்ட ஜீரோ’ குழு அதையே கண்டுபிடித்தது. சுவாரஸ்யமாக, கூகிளின் பாதுகாப்பு ஆராய்ச்சி குழுவும் காடுகளில் உள்ள பாதுகாப்பு குறைபாடுகளைப் பயன்படுத்தி செயல்படுத்தக்கூடிய செயல்களை வெற்றிகரமாக நகலெடுத்துள்ளது. இந்த பிழைகள் எந்தவொரு தொலைதூர தாக்குதலாளரையும் ஆப்பிள் ஐபோனின் நிர்வாகக் கட்டுப்பாட்டை எடுக்க அனுமதிக்கக்கூடும், பயனர் ஒரு செய்தியைப் பெறுவதும் திறப்பதும் தவிர வேறு எதையும் செய்யாமல்.

IOS 12.4 க்கு முந்தைய ஆப்பிள் ஐபோன் இயக்க முறைமை பதிப்புகள் ஆறு “ஊடாடாத” பாதுகாப்பு பிழைகளுக்கு ஆளாகின்றன, கண்டுபிடிக்கப்பட்டது கூகிள். கூகிள் திட்ட பூஜ்ஜியத்தின் இரண்டு உறுப்பினர்கள் விவரங்களை வெளியிட்டுள்ளனர், மேலும் ஆறு பாதிப்புகளில் ஐந்திற்கான ஆதாரம்-நிரூபணத்தை வெற்றிகரமாக நிரூபித்துள்ளனர். பாதுகாப்பு குறைபாடுகள் மிகவும் கடுமையானதாக கருதப்படலாம், ஏனெனில் ஐபோனின் பாதுகாப்பை சமரசம் செய்ய பாதிக்கப்பட்டவரால் செயல்படுத்தப்பட வேண்டிய குறைந்தபட்ச நடவடிக்கைகள் அவர்களுக்கு தேவைப்படுகின்றன. பாதுகாப்பு பாதிப்பு iOS இயக்க முறைமையை பாதிக்கிறது மற்றும் iMessage கிளையன்ட் வழியாக பயன்படுத்தப்படலாம்.

கூகிள் ‘பொறுப்புள்ள நடைமுறைகளைப்’ பின்பற்றுகிறது மற்றும் ஐபோன் iOS இல் உள்ள கடுமையான பாதுகாப்பு குறைபாடுகள் குறித்து ஆப்பிளுக்குத் தெரிவிக்கிறது:

அடுத்த வாரம் லாஸ் வேகாஸில் நடைபெறும் பிளாக் ஹாட் பாதுகாப்பு மாநாட்டில் ஆப்பிள் ஐபோன் iOS இன் பாதுகாப்பு பாதிப்புகள் குறித்த விவரங்களை கூகிள் வெளியிடும். எவ்வாறாயினும், தேடல் ஏஜென்ட் பாதுகாப்பு ஓட்டைகள் அல்லது கதவுகளைப் பற்றி அந்தந்த நிறுவனங்களுக்கு எச்சரிக்கை செய்வதற்கான அதன் பொறுப்பான நடைமுறையைத் தக்க வைத்துக் கொண்டார், மேலும் குழு விவரங்களை பகிரங்கமாக வெளிப்படுத்துவதற்கு முன்பு திட்டுகளை வெளியிடுவதற்கு அனுமதிக்க ஆப்பிள் நிறுவனத்திற்கு முதலில் சிக்கல்களைத் தெரிவித்தது.

கடுமையான பாதுகாப்பு பிழைகள் குறித்து கவனத்தில் கொண்டு, ஆப்பிள் பிழைகள் ஒட்ட விரைந்ததாக கூறப்படுகிறது. இருப்பினும், அது முழுமையாக வெற்றிபெறவில்லை. ஆப்பிள் பிழையை முழுமையாக தீர்க்காததால், “ஊடாடாத” பாதிப்புகளில் ஒன்றைப் பற்றிய விவரங்கள் தனிப்பட்டதாக வைக்கப்பட்டுள்ளன. பிழைகள் இருப்பதைக் கண்டறிந்து அறிக்கை செய்த இரண்டு கூகிள் திட்ட ஜீரோ ஆராய்ச்சியாளர்களில் ஒருவரான நடாலி சில்வானோவிச் இதைப் பற்றிய தகவல்களை வழங்கினார்.

ஆப்பிளின் iMessage பயன்பாட்டில் உள்ள குறைபாடுகளை கூகிள் வெளிப்படுத்துகிறது

வைரஸ்கள், தீம்பொருள் மற்றும் இது போன்ற அல்லது குறியீட்டு குறைபாடுகளுக்கு எதுவும் எதிர்ப்புத் தெரிவிக்கவில்லை: MacOS, Android, iOS, Linux, Windows - இவை அனைத்தும் பாதிக்கப்படக்கூடியவை. அனைத்து OS களுக்கும் இணைப்புகள் மற்றும் வைரஸ் தடுப்பு மருந்துகள் எப்போதும் அவசியம் https://t.co/sTpLUY2XqO

- ஸ்காட்டி (usosusuki) ஜூலை 30, 2019

ஆறு பாதுகாப்பு பிழைகள் நான்கு தொலைநிலை iOS சாதனத்தில் தீங்கிழைக்கும் குறியீட்டை செயல்படுத்த வழிவகுக்கும் என்றும் ஆராய்ச்சியாளர் குறிப்பிட்டார். இந்த பிழைகள் எந்தவொரு பயனர் தொடர்பும் தேவையில்லை என்பதே இன்னும் முக்கியமானது. தாக்குதல் நடத்தியவர்கள் பாதிக்கப்பட்டவரின் தொலைபேசியில் குறிப்பாக குறியிடப்பட்ட தவறான செய்தியை அனுப்ப வேண்டும். பெறப்பட்ட உருப்படியைக் காண பயனர் செய்தியைத் திறந்த பிறகு தீங்கிழைக்கும் குறியீடு தன்னை எளிதாக இயக்க முடியும். மற்ற இரண்டு சுரண்டல்கள் ஒரு தாக்குபவர் சாதனத்தின் நினைவகத்திலிருந்து தரவை கசிய விட்டுவிட்டு தொலை சாதனத்திலிருந்து கோப்புகளைப் படிக்க அனுமதிக்கும். ஆச்சரியப்படும் விதமாக, இந்த பிழைகள் கூட பயனர் தொடர்பு தேவையில்லை.

ஐபோன் iOS இல் ஆறு ‘ஜீரோ இன்டராக்ஷன்’ பாதுகாப்பு பாதிப்புகளில் ஐந்தை மட்டுமே ஆப்பிள் வெற்றிகரமாக இணைக்க முடியுமா?

ஆறு பாதுகாப்பு குறைபாடுகளும் கடந்த வாரம் ஜூலை 22 அன்று வெற்றிகரமாக இணைக்கப்பட்டதாக கருதப்படுகிறது ஆப்பிளின் iOS 12.4 வெளியீட்டில் . இருப்பினும், அப்படித் தெரியவில்லை. ஐபோன் iOS இல் உள்ள ஆறு பாதுகாப்பு “ஜீரோ இன்டராக்ஷன்” பாதிப்புகளில் ஐந்தை மட்டுமே ஆப்பிள் நிர்வகிக்க முடிந்தது என்று பாதுகாப்பு ஆராய்ச்சியாளர் குறிப்பிட்டுள்ளார். இன்னும், இணைக்கப்பட்ட ஐந்து பிழைகள் பற்றிய விவரங்கள் ஆன்லைனில் கிடைக்கின்றன. கூகிள் தனது பிழை அறிக்கையிடல் முறை மூலம் இதை வழங்கியுள்ளது.

தொலைதூர இயக்கத்தை அனுமதித்த மற்றும் பாதிக்கப்பட்டவரின் ஐபோனின் நிர்வாக கட்டுப்பாட்டை வழங்கிய மூன்று பிழைகள் சி.வி.இ-2019-8647 , சி.வி.இ-2019-8660 , மற்றும் சி.வி.இ-2019-8662 . இணைக்கப்பட்ட பிழை அறிக்கைகளில் ஒவ்வொரு பிழை பற்றிய தொழில்நுட்ப விவரங்கள் மட்டுமல்லாமல், சுரண்டல்களை வடிவமைக்க பயன்படுத்தக்கூடிய கருத்து-ஆதாரக் குறியீடும் உள்ளன. இந்த வகையிலிருந்து நான்காவது பிழையை ஆப்பிள் வெற்றிகரமாக இணைக்க முடியவில்லை என்பதால், அதன் விவரங்கள் ரகசியமாக வைக்கப்பட்டுள்ளன. கூகிள் இந்த பாதுகாப்பு பாதிப்பை CVE-2019-8641 எனக் குறித்தது.

இந்த குறைபாடுகளில் ஒன்று, தொலைதூர தாக்குதல் செய்பவர்கள் பாதிக்கப்பட்டவரின் சேமிக்கப்பட்ட கோப்புகளின் உள்ளடக்கத்தைப் படிக்க அனுமதிக்கும் எல்லைக்கு அப்பாற்பட்ட வாசிப்பு (சி.வி.இ -2019-8646) பிரச்சினை. #iOS iMessage வழியாக தவறான செய்தியை அனுப்புவதன் மூலம் சாதனம்.

- ஹேக்கர் செய்திகள் (HTheHackersNews) ஜூலை 30, 2019

ஐந்தாவது மற்றும் ஆறாவது பிழைகள் என கூகிள் குறியிட்டுள்ளது சி.வி.இ-2019-8624 மற்றும் சி.வி.இ-2019-8646 . இந்த பாதுகாப்பு குறைபாடுகள் தாக்குபவரின் பாதிக்கப்பட்டவரின் தனிப்பட்ட தகவலைத் தட்ட அனுமதிக்கக்கூடும். இவை குறிப்பாக சம்பந்தப்பட்டவை, ஏனென்றால் அவை சாதனத்தின் நினைவகத்திலிருந்து தரவை கசியவிடலாம் மற்றும் பாதிக்கப்பட்டவரிடமிருந்து எந்தவொரு தொடர்பும் தேவையில்லாமல் தொலை சாதனத்திலிருந்து கோப்புகளைப் படிக்கலாம்.

IOS 12.4 உடன், பாதிக்கப்படக்கூடிய iMessage இயங்குதளத்தின் மூலம் ஐபோன்களை தொலைவிலிருந்து கட்டுப்படுத்தும் எந்தவொரு முயற்சியையும் ஆப்பிள் வெற்றிகரமாக தடுத்திருக்கலாம். இருப்பினும், ஆதார-ஆதாரக் குறியீட்டின் இருப்பு மற்றும் திறந்த கிடைக்கும் தன்மை என்பது ஹேக்கர்கள் அல்லது தீங்கிழைக்கும் குறியீட்டாளர்கள் iOS 12.4 க்கு புதுப்பிக்கப்படாத ஐபோன்களை இன்னும் பயன்படுத்தக்கூடும் என்பதாகும். வேறு வார்த்தைகளில் கூறுவதானால், பாதுகாப்பு புதுப்பிப்புகள் கிடைத்தவுடன் அவற்றை நிறுவ எப்போதும் பரிந்துரைக்கப்படுகிறது, இந்த விஷயத்தில் ஆப்பிள் வெளியிட்ட சமீபத்திய iOS புதுப்பிப்பை எந்த தாமதமும் இல்லாமல் நிறுவுவது மிகவும் முக்கியமானது. பல ஹேக்கர்கள் பாதிப்புகள் அல்லது பொருத்தப்பட்ட பிறகும் அவற்றைப் பயன்படுத்த முயற்சிக்கின்றனர். ஏனென்றால், உடனடியாக புதுப்பிக்காத அல்லது சாதனங்களை புதுப்பிப்பதை தாமதப்படுத்தாத சாதன உரிமையாளர்களில் அதிக சதவீதம் பேர் இருப்பதை அவர்கள் நன்கு அறிவார்கள்.

ஐபோன் iOS இல் கடுமையான பாதுகாப்பு குறைபாடுகள் இருண்ட வலையில் மிகவும் இலாபகரமான மற்றும் நிதி ரீதியாக வெகுமதி அளிக்கின்றன:

ஆறு 'ஜீரோ இன்டராக்ஷன்' பாதுகாப்பு பாதிப்புகளை சில்வானோவிச் மற்றும் சக கூகிள் திட்ட ஜீரோ பாதுகாப்பு ஆராய்ச்சியாளர் சாமுவேல் க்ரோஸ் ஆகியோர் கண்டுபிடித்தனர். அடுத்த வாரம் லாஸ் வேகாஸில் நடைபெறவிருக்கும் பிளாக் ஹாட் பாதுகாப்பு மாநாட்டில் சில்வானோவிச் தொலைநிலை மற்றும் “ஊடாடாத” ஐபோன் பாதிப்புகள் குறித்து விளக்கக்காட்சியை வழங்கவுள்ளார்.

' பூஜ்ஜிய தொடர்பு ' அல்லது ' உராய்வு இல்லாதது ’பாதிப்புகள் குறிப்பாக ஆபத்தானவை மற்றும் பாதுகாப்பு நிபுணர்களிடையே ஆழ்ந்த கவலையை ஏற்படுத்துகின்றன. அ பேச்சு பற்றிய சிறிய துணுக்கு சில்வானோவிச் மாநாட்டில் வழங்குவார் என்பது ஐபோன் iOS க்குள் இதுபோன்ற பாதுகாப்பு குறைபாடுகள் குறித்த கவலைகளை எடுத்துக்காட்டுகிறது. 'ஐபோனைத் தாக்க பயனர் தொடர்பு எதுவும் பயன்படுத்தப்படாத தொலைநிலை பாதிப்புகள் பற்றிய வதந்திகள் உள்ளன, ஆனால் நவீன சாதனங்களில் இந்த தாக்குதல்களின் தொழில்நுட்ப அம்சங்கள் குறித்து வரையறுக்கப்பட்ட தகவல்கள் கிடைக்கின்றன. இந்த விளக்கக்காட்சி iOS இன் தொலை, தொடர்பு-குறைவான தாக்குதல் மேற்பரப்பை ஆராய்கிறது. இது எஸ்எம்எஸ், எம்எம்எஸ், விஷுவல் வாய்ஸ்மெயில், ஐமேசேஜ் மற்றும் மெயில் ஆகியவற்றில் பாதிப்புகளுக்கான சாத்தியக்கூறுகளைப் பற்றி விவாதிக்கிறது, மேலும் இந்த கூறுகளை சோதிக்க கருவிகளை எவ்வாறு அமைப்பது என்பதை விளக்குகிறது. இந்த முறைகளைப் பயன்படுத்தி கண்டுபிடிக்கப்பட்ட பாதிப்புகளின் இரண்டு எடுத்துக்காட்டுகளும் இதில் அடங்கும். ”

கூகிள் திட்ட பூஜ்ஜிய ஆராய்ச்சியாளர்கள் 5 ‘ஜீரோ இன்டராக்ஷன்’ ஐமேசேஜ் குறைபாடுகள், 4 ஐஓஎஸ் 12.4 இல் சரி செய்யப்பட்டது @கூகிள்
சி.வி.இ-2019-8660 ஒரு நினைவக ஊழல் குறைபாடு

வெளிப்படுத்தப்பட்ட இரண்டு குறைபாடுகள் ஐபோன் ஜி.யு.ஐ செயலிழக்க வழிவகுக்கும்

wii ரிமோட்டை ஒத்திசைக்கிறது

ஆராய்ச்சியாளர்களில் ஒருவர் பிளாக் ஹாட் யுஎஸ்ஏ 2019 இல் உள்ள குறைபாடுகளை விவரிப்பார் pic.twitter.com/slkkkOoObE

- டெய்லி டெக் (@ விகாஸ் கவுட் .1997) ஜூலை 30, 2019

விளக்கக்காட்சி மாநாட்டில் மிகவும் பிரபலமான ஒன்றாக அமைக்கப்பட்டுள்ளது, ஏனெனில் பயனர் தொடர்பு இல்லாத iOS பிழைகள் மிகவும் அரிதானவை. பெரும்பாலான iOS மற்றும் மேகோஸ் சுரண்டல்கள் பாதிக்கப்பட்டவரை வெற்றிகரமாக ஒரு பயன்பாட்டை இயக்குவது அல்லது அவர்களின் ஆப்பிள் ஐடி நற்சான்றுகளை வெளிப்படுத்துவதை நம்பியுள்ளன. பூஜ்ஜிய-தொடர்பு பிழைக்கு சுரண்டலைத் தொடங்க ஒரு கறைபடிந்த செய்தியைத் திறக்க வேண்டும். இது தொற்று அல்லது பாதுகாப்பு சமரசத்திற்கான வாய்ப்புகளை கணிசமாக அதிகரிக்கிறது. பெரும்பாலான ஸ்மார்ட்போன் பயனர்கள் மட்டுப்படுத்தப்பட்ட திரை ரியல் எஸ்டேட் மற்றும் அதன் உள்ளடக்கங்களை சரிபார்க்க செய்திகளைத் திறக்கிறார்கள். புத்திசாலித்தனமாக வடிவமைக்கப்பட்ட மற்றும் நன்கு சொல்லப்பட்ட செய்தி பெரும்பாலும் உணரப்பட்ட நம்பகத்தன்மையை அதிவேகமாக அதிகரிக்கிறது, மேலும் வெற்றிக்கான வாய்ப்புகளை மேலும் தள்ளும்.

இதுபோன்ற தீங்கிழைக்கும் செய்திகளை எஸ்எம்எஸ், எம்எம்எஸ், ஐமேசேஜ், மெயில் அல்லது விஷுவல் வாய்ஸ்மெயில் வழியாக அனுப்பலாம் என்று சில்வானோவிச் குறிப்பிட்டுள்ளார். அவை பாதிக்கப்பட்டவரின் தொலைபேசியில் முடிவடைந்து திறக்கப்பட வேண்டும். 'இத்தகைய பாதிப்புகள் ஒரு தாக்குபவரின் புனித கிரெயில் ஆகும், இது கண்டறியப்படாத பாதிக்கப்பட்டவர்களின் சாதனங்களை ஹேக் செய்ய அனுமதிக்கிறது.' தற்செயலாக, இன்று வரை, இதுபோன்ற குறைந்தபட்ச அல்லது “ஜீரோ இன்டராக்ஷன்” பாதுகாப்பு பாதிப்புகள் விற்பனையாளர்கள் மற்றும் சட்ட இடைமறிப்பு கருவிகள் மற்றும் கண்காணிப்பு மென்பொருளை உருவாக்குபவர்களால் மட்டுமே பயன்படுத்தப்படுகின்றன. இது வெறுமனே அத்தகைய பொருள் மிகவும் அதிநவீன பிழைகள் குறைந்த அளவிலான சந்தேகத்தை ஏற்படுத்தும் இது முக்கியமாக இருண்ட வலையில் செயல்படும் மென்பொருள் விற்பனையாளர்களால் கண்டுபிடிக்கப்பட்டு வர்த்தகம் செய்யப்படுகிறது. மட்டும் மாநில நிதியுதவி மற்றும் கவனம் செலுத்திய ஹேக்கிங் குழுக்கள் பொதுவாக அவற்றை அணுகலாம். ஏனென்றால், இதுபோன்ற குறைபாடுகளைப் பிடிக்கும் விற்பனையாளர்கள் அவற்றை பெரும் தொகைக்கு விற்கிறார்கள்.

வெளியிட்ட விலை விளக்கப்படத்தின்படி ஜீரோடியம் , டார்க் வெப் அல்லது மென்பொருள் கறுப்பு சந்தையில் விற்கப்படும் இத்தகைய பாதிப்புகள் ஒவ்வொன்றும் million 1 மில்லியனுக்கும் அதிகமாக செலவாகும். இதன் பொருள் சட்டவிரோத மென்பொருள் விற்பனையாளர்கள் million 5 மில்லியனுக்கும் million 10 மில்லியனுக்கும் இடையில் கட்டணம் வசூலித்திருக்கக்கூடிய பாதுகாப்பு சுரண்டல்களின் விவரங்களை சில்வானோவிச் வெளியிட்டிருக்கலாம். கூட்டம் , பாதுகாப்புத் தகவலுடன் செயல்படும் மற்றொரு தளம், விலை எளிதில் மிக அதிகமாக இருந்திருக்கலாம் என்று கூறுகிறது. இந்த குறைபாடுகள் ஒரு பகுதியாக இருந்தன என்ற உண்மையின் அடிப்படையில் அதன் அனுமானங்களை தளம் அடிப்படையாகக் கொண்டது “ கிளிக் செய்யாத தாக்குதல் சங்கிலி ”. மேலும், iOS சுரண்டல்களின் சமீபத்திய பதிப்புகளில் பாதிப்புகள் செயல்பட்டன. அவர்களில் ஆறு பேர் இருந்தார்கள் என்ற உண்மையுடன் இணைந்து, ஒரு சுரண்டல் விற்பனையாளர் எளிதாக million 20 மில்லியனுக்கும் அதிகமாக சம்பாதித்திருக்க முடியும்.