சமீபத்திய வாரங்களில், ஆப்பிள் பாட்காஸ்ட்கள் ஒரு ஆய்வுக்கு உட்படுத்தப்பட்டுள்ளன விசித்திரமான நடத்தை பல பயனர்களும் சைபர் பாதுகாப்பு நிபுணர்களும் இதை ஆவணப்படுத்தத் தொடங்கியுள்ளனர். ஆப்பிளின் ஆடியோ பயன்பாட்டில் ஒரு எளிய, எரிச்சலூட்டும் பிழையாகத் தோன்றிய ஒன்று, குறிப்பாக, சாத்தியமான பாதுகாப்பு அபாயங்கள் குறித்த கவலைகளை எழுப்பியுள்ளது. ஐபோன் மற்றும் மேக் சுற்றுச்சூழல் அமைப்பு ஸ்பெயினிலும் ஐரோப்பாவின் பிற பகுதிகளிலும் மிகவும் பரவலாக உள்ளது.
பல்வேறு தொழில்நுட்ப அறிக்கைகளின்படி, பயன்பாடு சில சாதனங்களில் தானாகவே திறக்கப்படுவது மட்டுமல்லாமல், தெரியாத பாட்காஸ்ட்களைப் பதிவேற்று. பயனரைப் பொறுத்தவரை, இந்தச் செய்திகள் பெரும்பாலும் மதம், ஆன்மீகம் அல்லது கல்வி போன்ற வகைகளுடன் தொடர்புடையவை, மேலும் குறியீட்டின் துணுக்குகளை ஒத்த தலைப்புகளையும் உள்ளடக்கியவை. பெரிய அளவிலான தாக்குதல் எதுவும் கண்டறியப்படவில்லை என்றாலும், இந்த முறை அசாதாரணமானது, ஆராய்ச்சியாளர்கள் எச்சரிக்கையாகவும் ஆப்பிள் நிறுவனத்திடமிருந்து தெளிவான பதிலைக் கோரவும் தூண்டுகிறது.
தானாகவே திறந்து, நீங்கள் ஒருபோதும் பின்தொடராத பாட்காஸ்ட்களை இயக்கும் பயன்பாடு.
ஐரோப்பிய ஒன்றியத்திற்குள் உட்பட பல்வேறு நாடுகளில் கவனிக்கப்படுவது என்னவென்றால், ஆப்பிள் பாட்காஸ்ட்கள் இது தலையீடு இல்லாமல் தொடங்கலாம்.பாதிக்கப்பட்ட சில பயனர்கள் தங்கள் ஐபோன் அல்லது மேக்கைத் திறக்கும்போது பயன்பாடு செயல்படுத்தப்படுவதாக தெரிவிக்கின்றனர், மற்றவர்கள் பாட்காஸ்ட்கள் தொடர்பான எந்த பொத்தானையோ அல்லது இணைப்பையோ கிளிக் செய்யாவிட்டாலும், சில வலைப்பக்கங்களைப் பார்வையிட்ட பிறகு அது தொடங்கப்படுவதைக் கண்டுள்ளனர்.
அந்த சந்தர்ப்பங்களில், பயன்பாடு பயனர் பயன்படுத்தும் நிரல்களின் அத்தியாயங்களைக் காட்டுகிறது சந்தா செய்யவில்லை அவற்றைப் பற்றி அவர்கள் கேள்விப்பட்டதாக நினைவில் இல்லை. அவை பெரும்பாலும் மதம், ஆன்மீகம் அல்லது கல்வி ஆகிய பிரிவுகளின் கீழ் வருகின்றன, சில சமயங்களில் அவை பிற மொழிகளில் அமைதியான அத்தியாயங்களாகவோ அல்லது மிகவும் விசித்திரமான தலைப்புகளுடன் உண்மையான கேட்போரை ஈர்ப்பதற்குப் பதிலாக அமைப்பைச் சோதிக்க வடிவமைக்கப்பட்டதாகத் தெரிகிறது.
இந்த நடத்தைகளை பகுப்பாய்வு செய்த பாதுகாப்பு நிபுணர்கள் அது ஏதோ ஒன்று என்பதைக் குறிப்பிடுகின்றனர் அரிதான ஆப்பிளின் அதிகாரப்பூர்வ பயன்பாடுகள் பொதுவாக அனுமதிகள் மற்றும் பின்னணி நடத்தை அடிப்படையில் இறுக்கமாகக் கட்டுப்படுத்தப்படுகின்றன. இதுவரை எந்தவொரு வெற்றிகரமான தாக்குதலும் உறுதிப்படுத்தப்படவில்லை என்றாலும், ஒரு கணினி நிரல் பயனர் தலையீடு இல்லாமல் திறந்து வெளிப்புறமாகத் தேர்ந்தெடுக்கப்பட்ட உள்ளடக்கத்தை தானாகவே ஏற்றுவது எச்சரிக்கையாக உள்ளது.
இந்த நிகழ்வு முற்றிலும் புதியதல்ல. ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர் சந்தேகத்திற்கிடமான அத்தியாயங்கள் இந்த சம்பவங்கள் குறைந்தது 2019 ஆம் ஆண்டிற்கு முந்தையவை, எதிர்பாராத மொழிகளில் அமைதியான உள்ளடக்கம் அல்லது உள்ளடக்கம் அவ்வப்போது இயக்கப்படுகின்றன. இதுவரை, இது ஒரு தொல்லை அல்லது ஸ்பேமின் ஒரு வடிவமாக விளக்கப்பட்டது, ஆனால் சமீபத்திய சோதனைகள் மற்ற பாதிப்புகளுடன் இணைந்தால் அது மிகவும் தீவிரமான ஒன்றுக்கு அடிப்படையாக இருக்கலாம் என்று கூறுகின்றன.
விசித்திரமான இணைப்புகள் மற்றும் ஆப்பிள் பாட்காஸ்ட்களில் XSS தாக்குதலின் அச்சுறுத்தல்
சைபர் பாதுகாப்பு சமூகத்தை அதிகம் கவலையடையச் செய்யும் விஷயம் என்னவென்றால், இந்த பாட்காஸ்ட்களில் குறைந்தபட்சம் ஒன்றில், தீங்கிழைக்கும் இணைப்பு ஒன்று கண்டறியப்பட்டுள்ளது. எபிசோட் விளக்கத்தில் உட்பொதிக்கப்பட்டுள்ளது. நிகழ்ச்சியின் தலைப்பில் குறியீட்டுத் துணுக்குகளைப் போன்ற சீரற்ற எழுத்துக்களின் சரம் இருந்தது, மேலும் XSS என்று பொதுவாக அழைக்கப்படும் குறுக்கு-தள ஸ்கிரிப்டிங் தாக்குதலைச் செயல்படுத்த முயற்சிக்கும் வலைத்தளத்திற்கு திருப்பி விடப்பட்டது. இந்த வகையான சம்பவம் சிக்கல்களை நினைவூட்டுகிறது. ஆப்பிள் அதை iOS இல் சரிசெய்துள்ளது. கடந்த காலத்தில் திட்டுகள் மூலம்.
ஒரு XSS தாக்குதல் ஒரு தாக்குபவர் அதன் சொந்த குறியீட்டை செலுத்துகிறது முதல் பார்வையில் முறையானதாகத் தோன்றும் ஒரு பக்கத்தில், குறியீடு பாதிக்கப்பட்டவரின் உலாவியில் இயங்கும். இந்த நுட்பம் பல ஆண்டுகளுக்கு முன்பு மிகவும் பிரபலமாக இருந்தது, மேலும் பிரபலமற்ற MySpace worm போன்ற சமூக வலைப்பின்னல்களில் வரலாற்று சம்பவங்களை கூட ஏற்படுத்தியது. இன்று, இது ஆன்லைன் பயன்பாடுகள் மற்றும் சேவைகளில் தொடர்ந்து தேடப்பட்டு சரிசெய்யப்படும் உன்னதமான பாதிப்புகளில் ஒன்றாக உள்ளது.
இந்த விஷயத்தில், தொந்தரவாக இருப்பது இணைப்பின் இருப்பு மட்டுமல்ல, அது வரும் சேனலும் தான்: a தானாகவே விரிவடையும் அத்தியாயம்இந்த XSS முயற்சி சாதனங்களை சமரசம் செய்ய முடிந்ததற்கான எந்த அறிகுறியும் இதுவரை இல்லை என்றாலும், செயலி மற்றும் இயக்க முறைமை அல்லது உலாவி ஆகிய இரண்டிலும் பிற பாதிப்புகளுடன் சேர்க்கைகளைச் சோதிக்க மிகவும் அதிநவீன தாக்குபவர்களுக்கு இது கதவைத் திறக்கிறது.
கலந்தாலோசிக்கப்பட்ட நிபுணர்கள், தற்போதைக்கு, நேரடி சேதம் எதுவும் ஆவணப்படுத்தப்படவில்லை. ஆப்பிள் பாட்காஸ்ட்களின் இந்த நடத்தை பயனர் கவலைகளைத் தூண்டியுள்ளது. வேறு வார்த்தைகளில் கூறுவதானால், உங்கள் ஐபோன் அல்லது மேக்கில் ஒரு அசாதாரண எபிசோட் இயங்குகிறது என்பது உங்கள் சாதனம் ஹேக் செய்யப்பட்டுள்ளது என்று அர்த்தமல்ல. இருப்பினும், உங்கள் அனுமதியின்றி இந்த பிளேபேக்கை அனுமதிக்கும் தொழில்நுட்ப செயல்முறை ஒரு சாத்தியமான தாக்குதல் வெக்டராக மாறக்கூடும்.
முக்கியமானது என்னவென்றால், இந்த வழியைப் பயன்படுத்தலாம் தயாரிக்கப்பட்ட இணைப்புகளை வழங்கவும். அல்லது எதிர்கால பாதிப்புகளைப் பயன்படுத்திக்கொள்ள வடிவமைக்கப்பட்ட உள்ளடக்கம். வேறு வார்த்தைகளில் கூறுவதானால், இன்று இது ஒரு பயமாகத் தோன்றினாலும், நாளை அது பல பாதிப்புகளை ஒன்றிணைத்து உண்மையான தாக்குதலைத் தொடங்கத் தேவையான காணாமல் போன பகுதியாக இருக்கலாம் - இது சைபர் பாதுகாப்புத் துறையில் ஒருபோதும் எளிதாக எடுத்துக் கொள்ளப்படாத ஒன்று.
பிரச்சனைக்கான காரணம்: கேட்காமலேயே ஆப்பிள் பாட்காஸ்ட்களைத் திறக்கும் இணைப்புகள்.
இந்த முரண்பாடான நடத்தை அமைப்பின் சட்டபூர்வமான செயல்பாட்டை அடிப்படையாகக் கொண்டது என்று பகுப்பாய்வுகள் தெரிவிக்கின்றன: இணைப்பிலிருந்து Podcasts செயலியைத் திறக்கவும்.ஒரு செயலியை நேரடியாகத் தொடங்கும் பிற இணைப்புகளைப் போலவே (உதாரணமாக, ஒரு வலைத்தளத்திலிருந்து Maps அல்லது App Store ஐத் திறப்பது), Apple Podcasts சில வகையான URLகளை எதிர்கொள்ளும்போது தானாகவே தொடங்கும்.
ஆராய்ச்சியாளர் பேட்ரிக் வார்டில் காட்டியபடி, முக்கியமான விஷயம் என்னவென்றால், தயாரிக்கப்பட்ட வலைத்தளத்தைப் பார்வையிடவும். இது ஆப்பிள் பாட்காஸ்ட்களைத் திறந்து, தாக்குபவர் தேர்ந்தெடுத்த நிரலை ஏற்ற போதுமானது. மேலும், மேகோஸில், இது பயனர் உறுதிப்படுத்தலைக் கேட்காமல் கணினி நடக்கிறது, ஜூம் போன்ற பிற வெளிப்புற பயன்பாடுகளைப் போலல்லாமல், அனுமதி கோரும் உரையாடல் பெட்டியைக் காண்பிக்கும்.
சிகிச்சையில் உள்ள இந்த வேறுபாடு, நடைமுறையில், ஒரு வலைத்தளம் பாட்காஸ்ட்களைத் திறக்க கட்டாயப்படுத்தலாம். மற்றும் ஒரு எபிசோடின் பிளேபேக், பல பயனர்கள் விவரிக்கும் "எனது மேக் தானாகவே விஷயங்களைச் செய்கிறது" என்ற உணர்வை உருவாக்குகிறது. உள்ளடக்கம் ஆபத்தான எதையும் செயல்படுத்தாவிட்டாலும், மனித தலையீடு இல்லாமல் பயன்பாடு திறக்கிறது என்பது பாதுகாப்புக் கண்ணோட்டத்தில் ஆபத்தான நடத்தையாகக் கருதப்படுகிறது.
ஸ்பெயின் மற்றும் ஐரோப்பாவின் பிற பகுதிகளில் பரவலாகக் காணப்படும் ஆப்பிளின் சுற்றுச்சூழல் அமைப்பில், இந்த வகையான பாதிப்பு பரந்த தாக்கத்தை ஏற்படுத்தக்கூடியது. நிறுவனம் பல ஆண்டுகளாக iMessage இல் ஸ்பேம் வடிப்பான்கள் மற்றும் காலெண்டரில் சந்தேகத்திற்கிடமான அழைப்புகளுக்கு எதிரான விதிகள் போன்ற அமைப்பு-நிலை பாதுகாப்பு அம்சங்களை இணைத்து வருகிறது. தாக்குதல் நடத்துபவர்கள் புதிய திறப்புகளைத் தேடுகிறார்கள். இயல்பாகவே பாதுகாப்பானதாகக் கருதப்படும் சேவைகளில் நுழைதல்.
உண்மையில், Podcasts வழக்கு, ஆப்பிள் தளங்களில் ஸ்பேம் அல்லது துஷ்பிரயோக பிரச்சாரங்களை உள்ளடக்கிய பிற சமீபத்திய அத்தியாயங்களை நினைவூட்டுகிறது, அதாவது Calendar இல் வெகுஜன அழைப்புகள் மீண்டும் எழுச்சி பெறுவது அல்லது iMessage இல் தேவையற்ற செய்திகளை அனுப்புவது போன்றவை. ஒவ்வொரு புதிய தொடர்பு திசையன் பயனர் தீங்கிழைக்கும் நடிகர்களுக்கு ஒரு வாய்ப்பாக மாறுகிறார், இங்கே அவர்கள் இன்னொன்றைக் கண்டுபிடித்ததாகத் தெரிகிறது.
ஸ்பெயின் மற்றும் ஐரோப்பாவில் உள்ள பயனர்களுக்கு இது இப்போது உண்மையான ஆபத்தை ஏற்படுத்துமா?
தினமும் ஐபோன் அல்லது மேக்கைப் பயன்படுத்தும் எவருக்கும் உள்ள முக்கிய கேள்வி, இந்தப் பிரச்சினை குறித்து அவர்கள் தீவிரமாகக் கவலைப்பட வேண்டுமா என்பதுதான். இந்த விஷயத்தை ஆராய்ந்த நிபுணர்கள், உடனடி ஆபத்து குறைவாக உள்ளது.ஆப்பிள் பாட்காஸ்ட்களின் இந்த நடத்தை காரணமாக மட்டுமே தரவு திருடப்படுகிறது, தீம்பொருள் நிறுவப்படுகிறது அல்லது சாதனங்கள் தொலைவிலிருந்து கட்டுப்படுத்தப்படுகின்றன என்பதற்கு எந்த ஆதாரமும் இல்லை.
இருப்பது ஒரு சாத்தியமான நடுத்தர கால ஆபத்துயாராவது செயலியிலோ அல்லது இயக்க முறைமையிலோ கூடுதல் பாதிப்பைக் கண்டறிந்தால், அவர்கள் அதை இணையத்திலிருந்து பாட்காஸ்ட்களைத் திறக்கும் திறனுடன் இணைத்து, பின்னர், இன்னும் விரிவான தாக்குதலைத் தொடங்கலாம். அதனால்தான் இந்த பிரச்சினை சிறப்பு ஊடகங்கள் மற்றும் மேகோஸ் பாதுகாப்பு ஆராய்ச்சியாளர்களிடையே அதிக கவனத்தை ஈர்த்துள்ளது.
ஐரோப்பாவில், எங்கே சட்ட கட்டமைப்பு குறிப்பாக கடுமையானது தனியுரிமை மற்றும் தரவு பாதுகாப்பைப் பொறுத்தவரை, இது போன்ற சூழ்நிலைகள் பிக் டெக் மீது ஒழுங்குமுறை அழுத்தத்தையும் ஏற்படுத்துகின்றன. இது ஒரு கடுமையான மீறலை விட ஸ்பேம் பிரச்சினை என்றாலும், தெளிவான மேற்பார்வை இல்லாமல் சந்தேகத்திற்கிடமான இணைப்புகளைப் பரப்ப ஒரு சிஸ்டம் செயலியைப் பயன்படுத்தலாம் என்பது ஆப்பிளின் பாதுகாப்பு மற்றும் கட்டுப்பாடு குறித்த வழக்கமான விவாதத்துடன் பொருந்தாது.
இந்த நடத்தை என்பதும் கவனிக்கத்தக்கது இது iOS மற்றும் macOS ஐ பாதிக்கிறது.அதாவது, ஐபோன்கள், ஐபேட்கள் மற்றும் மேக் கணினிகளுக்கு. பெரும்பாலான ஐரோப்பிய பயனர்கள் பிராண்டின் சுற்றுச்சூழல் அமைப்பிற்குள் பல சாதனங்களை இணைக்கின்றனர், இது இந்த எதிர்பாராத பிளேபேக் எபிசோடுகள் வெவ்வேறு சாதனங்களில் நிகழும் வாய்ப்புகளை அதிகரிக்கிறது.
அதிகாரப்பூர்வ புதுப்பிப்பு அல்லது விரிவான விளக்கம் வரும் வரை, நிபுணர்கள் பரிந்துரைக்கின்றனர் ஓய்வெடுக்காதீர்கள், ஆனால் பீதி அடைய வேண்டாம்.பயனர் தரவை பெருமளவில் சமரசம் செய்யும் முழுமையாக உருவாக்கப்பட்ட ஒரு சுரண்டலை அல்ல, மாறாக ஒரு சாத்தியமான தாக்குதல் வெக்டரை நாங்கள் கையாள்கிறோம்.
நடைமுறை பரிந்துரைகள்: நீங்கள் ஆப்பிள் பாட்காஸ்ட்களைப் பயன்படுத்தினால் என்ன செய்ய முடியும்
உங்கள் நூலகத்தில் ஆப்பிள் பாட்காஸ்ட்கள் தனியாகவோ அல்லது விசித்திரமான எபிசோடுகளாகவோ திறக்கப்படுவதை நீங்கள் கண்டிருந்தால், அபாயங்களைக் குறைக்க நீங்கள் எடுக்கக்கூடிய பல எளிய வழிமுறைகள் உள்ளன. முதல் மற்றும் மிகவும் வெளிப்படையானது, உங்களுக்குத் தெரியாத இணைப்புகளைக் கிளிக் செய்வதைத் தவிர்க்கவும். பயன்பாட்டிற்குள்ளேயே, குறிப்பாக விசித்திரமான தலைப்புகள் அல்லது குறியீடு போல தோற்றமளிக்கும்.
இயக்க முறைமை மற்றும் பயன்பாடுகள் இரண்டையும் புதுப்பித்த நிலையில் வைத்திருப்பது அவசியம். iOS, iPadOS மற்றும் macOS ஐப் புதுப்பிக்கவும் சமீபத்திய நிலையான பதிப்பிற்கு மேம்படுத்துவது, தாக்குபவர் இந்த வகையான அசாதாரண நடத்தையை ஏற்கனவே அறியப்பட்ட மற்றும் சமீபத்திய இணைப்புகளில் சரி செய்யப்பட்ட பிற பாதிப்புகளுடன் இணைக்கும் வாய்ப்பைக் கணிசமாகக் குறைக்கிறது.
ஆப்பிள் பாட்காஸ்ட்களை அரிதாகவே பயன்படுத்துபவர்களுக்கு அல்லது அடிக்கடி பாட்காஸ்ட்களைக் கேட்காதவர்களுக்கு, இன்னும் நேரடியான விருப்பம் பயன்பாட்டை தற்காலிகமாக நிறுவல் நீக்கவும். ஆப்பிள் சிக்கலை ஆராய்ந்து சரிசெய்தாலும், தற்போதைய சாதனங்களில், சிஸ்டம் ஆப்ஸ்களை மேலும் சிக்கல்கள் இல்லாமல் ஆப் ஸ்டோரிலிருந்து அகற்றி மீண்டும் நிறுவ முடியும், எனவே நீண்டகால செயல்பாடு எதுவும் இழக்கப்படாது.
பாட்காஸ்ட்களை நம்பாமல் உங்களுக்குப் பிடித்த நிகழ்ச்சிகளைத் தொடர்ந்து கேட்க விரும்பினால், நீங்கள்... பயன்படுத்தலாம். Spotify அல்லது YouTubeவழக்கமான உள்ளடக்கத்தின் பெரும்பகுதியும் கிடைக்கும் இடத்தில். இது அனைவருக்கும் ஒரு உறுதியான அல்லது அவசியமான தீர்வாக இருக்காது, ஆனால் அதிக தெளிவு கிடைக்கும் வரை அதைப் பாதுகாப்பாக விளையாட விரும்புவோருக்கு இது ஒரு நல்ல தீர்வாக இருக்கும்.
இறுதியாக, இது அறிவுறுத்தப்படுகிறது அசாதாரண நடத்தை குறித்து எச்சரிக்கையாக இருங்கள் பொதுவாக ஆப்பிள் செயலிகளில்: எதிர்பாராத திறப்புகள், விசித்திரமான அறிவிப்புகள், நீங்கள் செயல்படுத்த நினைவில் இல்லாத சந்தாக்கள் போன்றவை. இந்த அறிகுறிகளில் பெரும்பாலானவை பொதுவாக எரிச்சலூட்டும் அல்லது ஸ்பேம் முயற்சிகள் மட்டுமே, ஆனால் விழிப்புடன் இருப்பது ஏதேனும் கடுமையான சிக்கல்களை ஆரம்பத்திலேயே கண்டறிய உதவுகிறது.
ஆப்பிளிடமிருந்து அதிகாரப்பூர்வ பதில் இல்லாத நிலையில், ஆப்பிள் பாட்காஸ்ட்கள் வழக்கு எப்படி என்பதற்கான மற்றொரு எடுத்துக்காட்டாக மாறியுள்ளது மிகவும் நிறுவப்பட்ட பயன்பாடுகள் கூட எதிர்பாராத நடத்தையை வெளிப்படுத்தலாம். பேரழிவை ஏற்படுத்தாது என்றாலும், இந்த சிக்கல்கள் எச்சரிக்கையை தேவைப்படுத்துகின்றன. தானாகத் திறக்கும் எபிசோடுகள், முயற்சித்த கிராஸ்-சைட் ஸ்கிரிப்டிங்கிற்கான இணைப்புகள் (XSS) மற்றும் அனுமதியின்றி இணையத்திலிருந்து பயன்பாட்டைத் தொடங்கும் திறன் ஆகியவற்றுக்கு இடையே, பொதுவான உணர்வு என்னவென்றால், முன்னேற்றத்திற்கு இடம் இருக்கிறது, மேலும் யாராவது உண்மையிலேயே அதைப் பயன்படுத்துவதற்கு முன்பு இந்த சாத்தியமான பாதிப்பை மூட நிறுவனம் நடவடிக்கை எடுக்க வேண்டும்.
