ভিডিও: Devar Bhabhi hot romance video दà¥à¤µà¤° à¤à¤¾à¤à¥ à¤à¥ साथ हà¥à¤ रà¥à¤®à¤¾à¤ (নভেম্বর 2024)
ফোরিস্টাল ব্যাখ্যা করেছিলেন যে অ্যাপটি বিযুক্ত, সংশোধন এবং পুনরায় সমাবেশের মাধ্যমে তারা এর বিকাশকারী স্বাক্ষর পরিবর্তন করেছে। নতুন স্বাক্ষরটি গুগল ম্যাপ ব্যবহার করার জন্য লাইসেন্স করা হয়নি, তাই এটি প্রত্যাখ্যান করা হয়েছিল। তাদের নতুন অনুসন্ধান; স্বাক্ষর পরিবর্তন না করে কোড পরিবর্তন করুন।
অ্যান্ড্রয়েড একটি স্বাক্ষরিত অ্যাপ্লিকেশন যাচাই করার সময় ঘটে যাওয়া ইভেন্টগুলির বিশদ সিরিজটিতে ফরেস্টাল হেঁটেছিল। প্রতিটি স্তর পূর্ববর্তীটিকে যাচাই করে, কোড মডেলগুলিকে টেম্পার করা হয়নি এবং পুরো প্যাকেজের ডিজিটাল স্বাক্ষর দিয়ে শেষ করে তা যাচাই করে শুরু করে starting তিনি প্রতিটি পর্যায়ে সিস্টেমে আক্রমণ করার চেষ্টা করেছিলেন, বেশিরভাগ ভাগ্য ছাড়াই।
"এপিএইচ, জার এবং জিপ ফর্ম্যাটগুলি মূলত এক রকম, " ফরেস্টাল উল্লেখ করেছে noted "জার এবং APK এর কেবলমাত্র অতিরিক্ত উপাদান রয়েছে" " তার চূড়ান্ত সাফল্যের সাথে জিপ ফর্ম্যাটটি কাজে লাগানো জড়িত। তিনি যখন বিদ্যমান বৈধ ফাইলের একই নামের সাথে একটি "দুষ্ট" ফাইল সন্নিবেশ করেছিলেন, তখন যাচাইকারী বৈধ ফাইলটিতে সাইন আপ করে, তবে "দুষ্টু" ফাইলটি চালু হয়।
কেন? কারণ অ্যান্ড্রয়েড যাচাইকারী এবং প্রকৃত ইনস্টলারে বিভিন্ন জিপ ফাইল পরিচালনা কোড ব্যবহার করে। "জিপ ফাইল পার্সিংয়ের একটি তাত্পর্য এই ত্রুটির উত্স, " ফরিস্টাল ব্যাখ্যা করেছেন। "আসলে, অ্যান্ড্রয়েড কোড বেসে আটটি পৃথক জিপ ফাইল পার্সিং বাস্তবায়ন রয়েছে""
স্যান্ডবক্সের বাইরে
ফরিস্টাল বলেছিলেন, "আমি এই কৌশলটি ভালোর জন্য ব্যবহার করেছি।" "এখন আসুন এটি দুর্দান্তভাবে নেওয়া যাক" আইওএসের মতো অ্যান্ড্রয়েড প্রতিটি অ্যাপ্লিকেশন তার নিজস্ব স্যান্ডবক্সে চালায়, তাই কোনও অ্যাপ্লিকেশন অন্য অ্যাপ্লিকেশন সম্পর্কিত সংস্থানগুলিতে অ্যাক্সেস করতে পারে না। "স্যান্ডবক্সে প্রবেশের একমাত্র উপায় একই বিকাশকারী স্বাক্ষর করতে হবে, " তিনি ব্যাখ্যা করেছিলেন। "এটিই আপডেটগুলি সম্ভব করে তোলে।"
তিনি আরও বলেছিলেন, "সামগ্রিকভাবে সিস্টেমটি একই ধারণাটিকে গ্রাহক করে, " "সিস্টেমের স্যান্ডবক্স অন্য সমস্ত স্যান্ডবক্সগুলিকে প্রয়োগ করে It এটি আপনার সমস্ত সেটিংস নিয়ন্ত্রণ করে It's এটি রুট নয়, তবে এতে আপনার সমস্ত ডেটা, অ্যাপস, পাসওয়ার্ড এবং সেটিংস রয়েছে has কী বাকি? সিস্টেমটি বেশ শক্তিশালী" " সিস্টেম স্যান্ডবক্স অ্যাক্সেস করে এমন অ্যাপ্লিকেশনগুলি সাধারণত প্ল্যাটফর্ম নির্মাতার দ্বারা স্বাক্ষরিত হয়। "আমার কেবলমাত্র প্ল্যাটফর্ম-স্বাক্ষরিত অ্যাপ্লিকেশনটি নেওয়া এবং আমার ছোট কৌশলটি করা দরকার ছিল এবং আমার সিস্টেম-স্তরের অ্যাক্সেস থাকা উচিত That's এটি ফোরস্কয়ার মানচিত্রের চেয়ে শীতল, " তিনি বলেছিলেন।
দেখা যাচ্ছে যে তৃতীয় পক্ষের ভিপিএনগুলি প্ল্যাটফর্ম-স্বাক্ষরিত হওয়া দরকার, এবং বোনাস হিসাবে তারা ইতিমধ্যে সিস্টেম স্যান্ডবক্সে অ্যাক্সেসের জন্য অনুরোধ করেছে। ফ্রিস্টাল তিনটি সহজ কমান্ড প্রদর্শন করেছিলেন যা তিনি তার "দুষ্ট" কোডটি একটি তৃতীয় পক্ষের ভিপিএনতে sertোকানোর জন্য ব্যবহার করেছিলেন, "haber হ্যাকিং সরঞ্জামগুলি" নিয়ে মজা করছিল। ফলাফল? সম্পূর্ণ সিস্টেম-স্তরের অ্যাক্সেস সহ একটি ট্রোজান।
সহজ শোষণ
মাস্টার সিকিউরিটি টেকনোলজিস্ট সৌরিক (জে ফ্রিম্যান) এই ধারণাটি পরবর্তী স্তরে নিয়ে গেছেন, ফরিস্টাল ব্যাখ্যা করেছেন। তার সিডিয়া ইমপ্যাক্টর সরঞ্জামটি ওএসএক্স এবং উইন্ডোজে চলে এবং শোষণটি স্বয়ংক্রিয় করে তোলে। ফরিস্টাল বলেছিলেন, "একটি ডিভাইস সংযুক্ত করুন, " এটি সঠিক অ্যাপটি খুঁজে বের করে, এটি তৈরি করে, মূল অ্যাক্সেস পেতে উপযুক্ত হ্যাক যুক্ত করে দেয় এবং বিতরণ করে concept"
ফরিস্টাল নোট করেছেন যে ডিভাইসের প্রসেসরের ধরণটি কোনও ব্যাপার নয়। আক্রমণটি এএসএলআর (অ্যাড্রেস সিস্টেম লেআউট র্যান্ডমাইজেশন) বা ডিইপি (ডেটা এক্সিকিউশন প্রিভেনশন) দ্বারা প্রভাবিত হয় না। তিনি এমন একটি সংস্করণ তৈরি করেছিলেন যা অ্যান্ড্রয়েডের চার প্রজন্মের জন্য কাজ করে এবং জাভা সম্পর্কে জ্ঞান হ'ল একমাত্র আসল দক্ষতার প্রয়োজন। "আমি এটি ব্ল্যাক হ্যাটের জন্য জমা দিয়েছি কারণ এটি বুঝতে এবং ব্যবহার করা সহজ,"
আরও মাস্টার কী
ফোরিস্টাল সম্প্রতি আবিষ্কার হওয়া বেশ কয়েকটি অন্যান্য বাগ ফেলেছিলেন যা "মাস্টার কী" হিসাবে বিবেচিত হতে পারে। প্রামাণিক বৈশিষ্ট্য হিসাবে চিহ্নিত বৈশিষ্ট্যটির কোডের মধ্য দিয়ে যাওয়ার সময়, ব্লুবক্স গবেষকরা একটি লাইন মন্তব্য করেছিল এবং "TODO" হিসাবে চিহ্নিত করেছে। নিখোঁজ কোডের ফলস্বরূপ, আপনি ফাইলটি যা যাচাই করে যাচাই করে না কেন passes অনেকগুলি ফাইল এই বৈশিষ্ট্যটি ব্যবহার করে না, ফরেস্টাল উল্লেখ করেছে। "যদি আপনি এটির সন্ধান পান তবে আপনি শংসাপত্রের ফাইলটি অনুলিপি এবং পেস্ট করতে পারেন এবং বিকাশকারীর পরিচয় ধরে নিতে পারেন you আপনি যদি সত্যায়িত বৈশিষ্ট্যের সাহায্যে কোনও অ্যাপ্লিকেশন স্বাক্ষর করেন, আপনি নিজের পরিচয়টি এড়িয়ে গেছেন" " এই বাগটি ব্লুবক্সের রিপোর্ট করার আগেই ঠিক করা হয়েছিল, তারা ক্রেডিট নেয় না।
একজন চীনা গবেষক দ্বারা প্রতিবেদন করা "হিডেন ট্রোজান" আক্রমণটি অ্যান্ড্রয়েডের একাধিক জিপ ফাইল পার্সারগুলি শোষণের বেশ কয়েকটি সম্ভাব্য উপায়গুলির মধ্যে একটি মাত্র প্রমাণিত হয়েছে। এই আক্রমণগুলি একটি পার্সার ব্যবহারকারীরা পূর্ণসংখ্যায় স্বাক্ষর করে এবং অন্যটি স্বাক্ষরবিহীন পূর্ণ পূর্ণসংখ্যার ব্যবহার করে এই বিষয়টি গ্রহণ করে।
"এটি একটি ফাইল প্রতিস্থাপনের বিষয়েও নয়, " ফোরিস্টাল প্রলুব্ধ হয়েছিল। "আপনি এই কৌশলটি সম্পূর্ণ ভিন্ন জিপ ফাইলগুলিতে খাওয়ানোর জন্য ব্যবহার করতে পারেন One একটি যাচাই হয়ে যায়, অন্যটি চালায়। এই জায়গার কয়েকটি কৌশল এবং ট্রিডবিট এই পদ্ধতির আরও বেশি শক্তি প্রদর্শন করতে পারে।"
যদিও এই কৌশলটি ব্যবহার করে ম্যালওয়্যারটি ইতিমধ্যে বন্যে দেখা গেছে, গুগল প্লেতে এখানে বর্ণিত মতো ট্রোজানাইজড ফাইল পাওয়া সম্ভব হবে না । আপনি সম্ভবত নিরাপদে থাকবেন যদি আপনি সর্বদা এবং শুধুমাত্র অ্যাপ্লিকেশনগুলি ইনস্টল করেন যা সরকারী তদন্তে উত্তীর্ণ হয়েছে। তবুও, নিরাপদ থাকতে, অবিলম্বে যে কোনও উপলভ্য অ্যান্ড্রয়েড আপডেট ইনস্টল করতে ভুলবেন না।