यहां बताया गया है कि आपके Apple उपकरण बहुत अधिक सुरक्षित होने वाले हैं

आई फ़ोनDec 19, 2021

जबकि Apple डिवाइस अपनी सुरक्षा और गोपनीयता सुविधाओं के लिए प्रसिद्ध हैं, वे हैकिंग या अन्य हमलों के लिए भी असुरक्षित नहीं हैं। सौभाग्य से, Apple डिवाइस आगे चलकर बहुत अधिक सुरक्षित होने वाले हैं।

अंतर्वस्तु

    • सम्बंधित:
  • Apple की सुरक्षा नीति में बदलाव
    • बग बाउंटी कार्यक्रम
    • प्री-जेलब्रोकन iPhones
  • उल्लेखनीय कमजोरियां
    • फेस आईडी बाईपास
    • संपर्क ऐप
    • दुर्भावनापूर्ण केबल
    • संबंधित पोस्ट:

सम्बंधित:

  • WWDC में iOS 13 की गोपनीयता और सुरक्षा में सुधार की घोषणा
  • यहाँ macOS Mojave और iOS 12 में आने वाली नई सुरक्षा और गोपनीयता सुविधाएँ दी गई हैं:
  • मैक सुरक्षा और वायरस से बचने के लिए टिप्स

ऐसा इस महीने लास वेगास में ब्लैक हैट सुरक्षा सम्मेलनों में हाल ही में घोषित किए गए Apple नीति परिवर्तनों के कारण है। इसके अलावा, ब्लैक हैट और डेफ कॉन 2019 में कुछ उल्लेखनीय कारनामे भी सामने आए हैं।

यहां आपको हाल ही में Apple सुरक्षा समाचार के बारे में पता होना चाहिए।

Apple की सुरक्षा नीति में बदलाव

Apple के सुरक्षा इंजीनियरिंग के प्रमुख इवान क्रिस्टिक ने इस साल के ब्लैक हैट सम्मेलन में कुछ महत्वपूर्ण घोषणाएँ कीं।

जबकि घोषणाएं एथिकल हैकर्स और सुरक्षा शोधकर्ताओं के उद्देश्य से की गई थीं, वे Apple की सुरक्षा नीतियों में बड़े बदलावों का प्रतिनिधित्व करती हैं। ये बहुत अच्छी तरह से आगे बढ़ने वाले अधिक सुरक्षित उपकरणों में परिणाम कर सकते हैं।

बग बाउंटी कार्यक्रम

Apple सुरक्षा - बग बाउंटी
ब्लैक हैट 2019 में ऐप्पल की घोषणा। @Mikebdotorg के माध्यम से छवि।

इस अगस्त में ब्लैक हैट सुरक्षा सम्मेलन से ऐप्पल से संबंधित सबसे बड़ी खबर ऐप्पल के बग बाउंटी प्रोग्राम का एक महत्वपूर्ण विस्तार था।

अनिवार्य रूप से, बग बाउंटी प्रोग्राम एथिकल हैकर्स और सुरक्षा शोधकर्ताओं के लिए मौजूदा प्लेटफॉर्म को मजबूत करने में मदद करने का एक तरीका है। एक बार जब वे आईओएस के साथ बग या भेद्यता पाते हैं, उदाहरण के लिए, वे ऐप्पल को उस दोष की रिपोर्ट करते हैं - और इसके लिए भुगतान प्राप्त करते हैं।

जहां तक ​​बदलावों की बात है, Apple बग बाउंटी प्रोग्राम को आगे चलकर macOS डिवाइस तक बढ़ा रहा है। यह इनाम के अधिकतम आकार को $200,000 प्रति शोषण से बढ़ाकर $1 मिलियन प्रति शोषण कर रहा है। बेशक, यह इस बात पर निर्भर करता है कि यह कितना गंभीर है।

Apple ने सबसे पहले 2016 में iOS बग बाउंटी प्रोग्राम पेश किया था। लेकिन इस अगस्त तक, macOS के लिए ऐसा कोई कार्यक्रम नहीं था (जो स्वाभाविक रूप से, Apple के मोबाइल ऑपरेटिंग सिस्टम की तुलना में हमलों के लिए अधिक संवेदनशील है)।

यह प्रसिद्ध समस्याएँ तब पैदा हुई जब एक जर्मन हैकर ने शुरू में Apple को एक विशिष्ट दोष के विवरण की रिपोर्ट करने से इनकार कर दिया। हैकर ने कारण के रूप में भुगतान की कमी का हवाला दिया, भले ही उसने अंततः ऐप्पल को विवरण दिया।

प्री-जेलब्रोकन iPhones

Apple सुरक्षा - देव iPhones
Apple के iPhone सुरक्षा अनुसंधान कार्यक्रम का वर्णन करने वाली एक स्लाइड। @ 0x30n के माध्यम से छवि।

ऐप्पल जांचे गए हैकर्स और सुरक्षा शोधकर्ताओं को विशेष आईफ़ोन भी प्रदान करेगा ताकि वे आईओएस को तोड़ने की कोशिश कर सकें।

IPhones को पूर्व-जेलब्रोकन, "देव" उपकरणों के रूप में वर्णित किया गया है, जिनमें iOS के उपभोक्ता संस्करण में पके हुए कई सुरक्षा उपायों की कमी है।

इन विशेषीकृत को पैठ परीक्षकों को अंतर्निहित सॉफ़्टवेयर सिस्टम तक अधिक पहुंच की अनुमति देनी चाहिए। इस तरह, वे सॉफ्टवेयर में कमजोरियों को बहुत आसानी से खोज सकते हैं।

IPhones को Apple के iOS सुरक्षा अनुसंधान उपकरण कार्यक्रम के हिस्से के रूप में प्रदान किया जाएगा, जिसे वह अगले साल लॉन्च करने की योजना बना रहा है।

यह ध्यान देने योग्य है कि उपरोक्त "देव" iPhones के लिए एक मौजूदा काला बाजार है।

इस साल की शुरुआत में मदरबोर्ड की एक रिपोर्ट के अनुसार, इन प्री-रिलीज़ iPhones को कभी-कभी Apple की प्रोडक्शन लाइन से तस्करी करके लाया जाता है। वहां से, वे अंततः चोरों, हैकर्स और सुरक्षा शोधकर्ताओं तक पहुंचने से पहले एक उच्च कीमत प्राप्त करते हैं।

उल्लेखनीय कमजोरियां

जबकि सुरक्षा नीति में बदलाव और हैकर iPhones ब्लैक हैट और डेफ कॉन से बाहर की सबसे बड़ी खबर है, सुरक्षा शोधकर्ताओं और व्हाइट हैट हैकर्स ने कई उल्लेखनीय एप्पल-संबंधित का भी खुलासा किया कमजोरियां।

यदि आप Apple डिवाइस का उपयोग करते हैं और आप अपने डेटा की गोपनीयता और सुरक्षा को बनाए रखना चाहते हैं, तो इन पर ध्यान देना महत्वपूर्ण है।

फेस आईडी बाईपास

Apple सुरक्षा - फेस आईडी
Tencent के शोधकर्ताओं द्वारा विकसित ये विशेष चश्मा फेस आईडी को बायपास कर सकते हैं। थ्रेटपोस्ट के माध्यम से छवि।

ऐप्पल का कहना है कि टच आईडी की तुलना में फेस आईडी काफी अधिक सुरक्षित है। और व्यवहार में, वास्तव में इसे बायपास करना बहुत कठिन है। लेकिन इसका मतलब यह नहीं है कि कारनामे मौजूद नहीं हैं।

Tencent के शोधकर्ताओं ने पाया कि वे फेस आईडी के "लाइवनेस" डिटेक्शन सिस्टम को बेवकूफ बनाने में सक्षम थे। अनिवार्य रूप से, यह मानव पर वास्तविक या नकली विशेषताओं में अंतर करने के लिए एक उपाय है - और यह लोगों को आपके सोते समय आपके डिवाइस को आपके चेहरे से अनलॉक करने से रोकता है।

शोधकर्ताओं ने एक मालिकाना तरीका विकसित किया जो सिर्फ चश्मे और टेप का उपयोग करके सिस्टम को बेवकूफ बना सकता है। अनिवार्य रूप से, ये "नकली" चश्मा एक बेहोश व्यक्ति के चेहरे पर आंख के रूप का अनुकरण कर सकते हैं।

हालाँकि, शोषण केवल बेहोश लोगों पर ही काम करता है। लेकिन यह चिंताजनक है। शोधकर्ता नकली चश्मे को सोते हुए व्यक्ति पर लगाने में सफल रहे।

वहां से, वे उस व्यक्ति के डिवाइस को अनलॉक कर सकते हैं और मोबाइल भुगतान प्लेटफॉर्म के माध्यम से खुद को पैसे भेज सकते हैं।

संपर्क ऐप

Apple सुरक्षा - संपर्क
SQLite डेटाबेस प्रारूप में एक बग Apple के iOS संपर्क ऐप को हमले के लिए असुरक्षित बना सकता है।

Apple का iOS ऑपरेटिंग सिस्टम, एक दीवार वाले बगीचे के मंच के रूप में, हमलों के लिए काफी प्रतिरोधी है। आंशिक रूप से, ऐसा इसलिए है क्योंकि प्लेटफ़ॉर्म पर अहस्ताक्षरित ऐप्स चलाने का कोई आसान तरीका नहीं है।

लेकिन डेफ कॉन 2019 में चेक प्वाइंट के सुरक्षा शोधकर्ताओं ने कॉन्टैक्ट्स ऐप में एक बग का फायदा उठाने का एक तरीका खोजा जो हैकर्स को आपके आईफोन पर अहस्ताक्षरित कोड चलाने दे सकता है।

भेद्यता वास्तव में SQLite डेटाबेस प्रारूप में एक बग है, जिसका उपयोग संपर्क ऐप करता है। (अधिकांश प्लेटफ़ॉर्म, iOS और macOS से लेकर Windows 10 और Google Chrome तक, वास्तव में प्रारूप का उपयोग करते हैं।)

शोधकर्ताओं ने पाया कि वे एक प्रभावित iPhone पर दुर्भावनापूर्ण कोड चलाने में सक्षम थे, जिसमें एक स्क्रिप्ट भी शामिल थी जिसने उपयोगकर्ता के पासवर्ड चुराए थे। वे दृढ़ता हासिल करने में भी सक्षम थे, जिसका अर्थ है कि वे रीबूट के बाद कोड चलाना जारी रख सकते हैं।

सौभाग्य से, भेद्यता एक अनलॉक डिवाइस पर एक दुर्भावनापूर्ण डेटाबेस स्थापित करने पर निर्भर करती है। इसलिए जब तक आप किसी हैकर को आपके अनलॉक किए गए iPhone तक भौतिक पहुंच नहीं देते हैं, तब तक आपको ठीक होना चाहिए।

दुर्भावनापूर्ण केबल

Apple सुरक्षा - OMG केबल्स
लाइटनिंग केबल हल्का दिखता है, वास्तव में सुरक्षा शोधकर्ता एमजी द्वारा विकसित एक बीस्पोक पैठ परीक्षण उपकरण है। ओएमजी के माध्यम से छवि।

यह लंबे समय से अनुशंसा की जाती है कि आप अपने कंप्यूटर में यादृच्छिक USB ड्राइव प्लग न करें। हाल के एक विकास के लिए धन्यवाद, आपको शायद अपने कंप्यूटर में यादृच्छिक लाइटनिंग केबल्स प्लग नहीं करना चाहिए।

यह O.MG केबल की वजह से है, जो सुरक्षा शोधकर्ता MG द्वारा विकसित एक विशेष हैकिंग टूल है और इस साल Def Con में दिखाया गया है।

O.MG केबल बिल्कुल सामान्य Apple लाइटनिंग केबल की तरह दिखती है और काम करती है। यह आपके iPhone को चार्ज कर सकता है और यह आपके डिवाइस को आपके Mac या PC में प्लग कर सकता है।

लेकिन केबल के आवास के भीतर वास्तव में एक मालिकाना प्रत्यारोपण है जो एक हमलावर को आपके कंप्यूटर तक दूरस्थ पहुंच की अनुमति दे सकता है। जब इसे प्लग इन किया जाता है, तो एक हैकर टर्मिनल खोल सकता है और अन्य कार्यों के साथ दुर्भावनापूर्ण आदेश चला सकता है।

सौभाग्य से, केबल वर्तमान में केवल हस्तनिर्मित हैं और प्रत्येक की कीमत $200 है। इससे जोखिम कम होना चाहिए। लेकिन आगे बढ़ते हुए, आप शायद अपने मैक में रैंडम लाइटनिंग केबल को प्लग करने से बचना चाहेंगे।

माइक - सेब
माइक पीटरसन(वरिष्ठ लेखक)

माइक सैन डिएगो, कैलिफ़ोर्निया के एक स्वतंत्र पत्रकार हैं।

जबकि वह मुख्य रूप से Apple और उपभोक्ता प्रौद्योगिकी को कवर करता है, उसके पास सार्वजनिक सुरक्षा, स्थानीय सरकार और विभिन्न प्रकाशनों के लिए शिक्षा के बारे में लिखने का पिछला अनुभव है।

उन्होंने लेखक, संपादक और समाचार डिजाइनर सहित पत्रकारिता के क्षेत्र में काफी कुछ पहना है।