ভিডিও: पृथà¥?वी पर सà¥?थित à¤à¤¯à¤¾à¤¨à¤• नरक मंदिर | Amazing H (সেপ্টেম্বর 2024)
অ্যান্ড্রয়েড সুরক্ষা সম্পর্কে লেখার সময়, আমি বার বার একই সমস্যাটি দেখতে পাই (এসএসএল, বন্ধুরা! আসুন!)। আমরা উইডিতের সিইও নোয়াম ফাইন এবং মোবাইল ডেভলপমেন্টের প্রধান নীর অর্পাজকে অ্যান্ড্রয়েড বিকাশকারীরা সুরক্ষা পছন্দগুলি কেন করেন এবং তাদের নিজস্ব সুরক্ষা সংকট মোকাবিলা করার পরে আরও কী কী করা দরকার তা বোঝাতে বলেছিলেন।
জ্ঞানের অভাব
উইদিতের বিকাশকারীদের সাথে কথা বলা থেকে, অ্যান্ড্রয়েড বাস্তুতন্ত্রের খেলোয়াড়দের মধ্যে সংযোগ বিচ্ছিন্ন বলে মনে হচ্ছে। ফাইন ব্যবহারকারী বলেছেন, "ব্যবহারকারীরা তাদের ফোনে কী যুক্ত করছে তা দেখার জন্য যথেষ্ট শিক্ষিত নয়।" "আমি নিশ্চিত নই যে প্রত্যেকে সত্যই এতো যত্ন করে""
অন্যদিকে, বিকাশকারীরা সর্বদা তাদের অ্যাপ্লিকেশনগুলি যে ঝুঁকিগুলি উপস্থাপন করতে পারে তা জানেন না। "ডেভেলপাররা সম্পূর্ণরূপে বুঝতে পারে না যে তারা যা প্রেরণ করে তা ব্যক্তিগত তথ্য, " অর্ফাজ বলেছিলেন। ফাইন সম্মত হয়ে বলেছিলেন যে কোন তথ্যটি সত্যই "ব্যক্তিগত" তা নিয়ে কোনও কঠোর এবং দ্রুত নিয়ম নেই।
অন্য সমস্যাটি হ'ল তৃতীয় পক্ষের বিজ্ঞাপনদাতারা যা ব্যবহারকারীদের উপর তথ্য সংগ্রহের জন্য ডেভেলপারদের তাদের অ্যাপ্লিকেশনগুলিতে সফটওয়্যার ডেভলপমেন্ট কিটস (এসডিকে) অন্তর্ভুক্ত করতে অর্থ প্রদান করে। বিজ্ঞাপনদাতারা একাধিক অ্যাপ্লিকেশন থেকে বিব্রতকরভাবে বিস্তারিত ডোজিয়রে সংকলন করতে পারেন। উদাহরণস্বরূপ, একটি অ্যাপ্লিকেশন আপনার বয়সের জন্য এবং অন্যটি আপনার নামের জন্য জিজ্ঞাসা করতে পারে তবে একই বিজ্ঞাপনদাতার উভয়কেই ডিল থাকতে পারে।
এটি লক্ষণীয় যে উইদিতিট অ্যাপ্লিকেশন বিকাশ এবং বিজ্ঞাপনের মধ্যে এক ধরণের। তারা এমন একটি এসডিকে প্ল্যাটফর্ম তৈরি করে যা অ্যাপ্লিকেশনগুলিতে.োকানো যায় যাতে অ্যাপ্লিকেশন বিকাশকারীরা তাদের তৈরিগুলি থেকে কিছু অর্থ উপার্জন করতে পারে।
সূক্ষ্মভাবে, ব্যবহারকারীর শিক্ষার অভাব পুরোপুরি বিকাশকারীদের জন্য সুরক্ষার পক্ষে কাজ করে। "আপনি যদি আপনার খ্যাতির বিষয়ে চিন্তা করেন তবে আপনি এটি বজায় রাখতে প্রচুর প্রচেষ্টা বিনিয়োগ করেন This এর অর্থ আপনার ব্যবসায়িক অনুশীলনগুলি আপনার সুরক্ষা অনুশীলনের মতোই, " ফাইন বলেছেন said তিনি বিকাশকারীদের বিজ্ঞাপনদাতাদের সাথে সাইন আপ করার আগে এবং তাদের অ্যাপ্লিকেশনগুলিতে এসডিকে ইনস্টল করার আগে সাবধানতার সাথে চিন্তা করতে উত্সাহিত করেছিলেন। তিনি ডেভেলপারদের তাদের অ্যাপে সক্ষম করার আগে এসডিকে প্রয়োজনীয় অনুমতিগুলি পরীক্ষা করতে উত্সাহিত করেছিলেন। "আপনি যদি বিকাশকারী হিসাবে সেই অনুমতিগুলি না জিজ্ঞাসা করেন তবে আপনি এসডিকে সেই অনুমতিগুলি দিতে রাজি হন?"
সুরক্ষিত বিকাশ
ফাইন এবং অরফাজ দুজনেই বলেছিলেন যে সুরক্ষার বিষয়ে কথা বলা একটা জিনিস ছিল তবে এটি অ্যাপ্লিকেশনগুলিতে প্রয়োগ করা অন্যরকম ছিল। তথ্য প্রেরণের জন্য একটি এনক্রিপ্ট করা এসএসএল সংযোগ বজায় রাখা একটি ভাল অনুশীলন, তবে ছোট বিকাশকারীদের পক্ষে এটি চ্যালেঞ্জ হতে পারে। "আপনাকে একটি এসএসএল সার্ভার পেতে হবে, এবং কখনও কখনও এটি পাওয়া সহজ জিনিস নয়, " অর্পাজ ব্যাখ্যা করেছিলেন। আমরা এসএসএলকে শির্ক করা বা ভুলভাবে চালিত করার জন্য অনেক সংস্থাকে সমালোচিত দেখেছি।
কিছু দুর্বলতা এমনকি সর্বাধিক প্রাথমিক কার্যগুলি থেকে ক্রপ হয়। উদাহরণস্বরূপ, ফাইন অ্যান্ড্রয়েড অনুমতিটির প্রতি ইঙ্গিত করেছে যা অ্যাপ্লিকেশনগুলিকে ইন্টারনেটের সাথে সংযোগ করতে দেয়। ফাইন বলেন, "প্রতিটি বিকাশকারীই এটি করেন।" একবার আপনি নেটওয়ার্কের সাথে সংযুক্ত হয়ে গেলে তা অবিলম্বে একটি দুর্বলতা ""
তিনি বিকাশকারীদের সাধারণ জ্ঞান ব্যবহার করতে এবং তাদের অ্যাপগুলিতে অন্তর্ভুক্ত থাকা বৈশিষ্ট্যগুলির সম্ভাব্য ঝুঁকিগুলির মানচিত্রের পাশাপাশি ব্যবহারকারীদের উপর তথ্য সংগ্রহের জন্য উত্সাহিত করেছিলেন। "আপনি যদি এটি করছেন, আপনার থামতে হবে এবং চিন্তা করা উচিত 'ঝুঁকি কমাতে আমি কী করছি?'" ফাইন বলেছেন। "আমি নিশ্চিত না যে বেশিরভাগ বিকাশকারীরা এটি করে""
প্রথম হাত অভিজ্ঞতা
উইদিতের নিজস্ব সুরক্ষা সমস্যা ছিল, যা আমরা সাম্প্রতিক একটি মোবাইল থ্রেট সোমবার পোস্টে জানিয়েছি। তাদের সিস্টেমটি অ্যাপের মধ্যে এসডিকে কোড ব্যবহার করে যা অ্যান্ড্রয়েড ফোনে একটি আপডেট ডাউনলোড করতে প্রতিদিন একটি রিমোট সার্ভারকে কল করে। নিরাপত্তা গবেষকরা এটিকে বিপজ্জনক হিসাবে চিহ্নিত করেছেন, যেহেতু কোনও এসএসএল সংযোগ ছাড়াই যোগাযোগটি পরিচালনা করা হয়েছিল, সম্ভাব্যভাবে আক্রমণকারীটিকে ফাইলটি বিরত রাখতে এবং এটি কোনও দূষিতর জায়গায় প্রতিস্থাপনের অনুমতি দেয়।
ফাইন এবং অরফাজ জোর দিয়েছিলেন যে তারা সমস্যা সম্পর্কে এটি গবেষকরা ঘোষণার আগে জানতেন এবং ভবিষ্যতে এটি ঠিক করার পরিকল্পনা করেছিলেন। "এই দুর্বলতার ঘটনার খুব কম সম্ভাবনা রয়েছে বলে অনুধাবন করা হয়েছিল। আমরা এটি আরও ভাল করে বুঝতে পারলে তাত্ক্ষণিকভাবে যত্ন নেওয়া এবং নতুন সংস্করণ প্রকাশ করা হয়েছে।" ফাইন উইডিতকে "এক বিলিয়নে একজন হিসাবে" সুযোগ হিসাবে সফলভাবে আক্রমণ চালিয়ে যাওয়ার বর্ণনা করেছেন।
তবে তিনি স্বীকার করেছেন যে একটি পরিবর্তন করা দরকার। ফাইন বলেছিলেন, "এটি বলার পক্ষে যথেষ্ট ভালো ছিল না যে এটি সত্যিই কম সম্ভাবনা ছিল।"
এটি সত্য যে কোনও আক্রমণকারীকে কারওর ফোনে আক্রমণ করার জন্য উইদিতকে ব্যবহার করার জন্য অনেকদূর যেতে হবে। গড় অ্যান্ড্রয়েড স্ক্যামার যে ধরণের জিনিস চেষ্টা করবে এটি অবশ্যই তা নয়। তবে আক্রমণকারীরা যদি বেতনটি সার্থক হয় এবং মোবাইল হুমকি ল্যান্ডস্কেপ সর্বদা পরিবর্তিত হয় তবে তারা প্রচুর সংস্থান অর্জন করতে পারে। আজ এক বিলিয়ন থেকে ওয়ানের সুযোগ কী হতে পারে, আগামীকাল একটি নিশ্চিত বিষয় হতে পারে।
সবাই, আপ আপনার গেম
এনএসএ ডেটা সংগ্রহের বিষয়ে স্নোডেনের প্রকাশের কারণে অ্যান্ড্রয়েড ব্যবহারকারীরা সুরক্ষা সম্পর্কে আরও উদ্বিগ্ন হতে পারেন তবে তাদের নিজের অ্যাপ্লিকেশনগুলিতেও নজর দেওয়া উচিত। আমরা ইতিমধ্যে দেখেছি যে গুপ্তচর সংস্থাগুলি কীভাবে অ্যাংরি পাখিগুলির মতো গেমগুলির তথ্য সংগ্রহের জন্য সুবিধা গ্রহণ করছে। ফাইন বলেছেন যে ব্যবহারকারীরা অ্যান্ড্রয়েড ইকোসিস্টেমটি ড্রাইভ করে এবং যদি তারা আরও ভাল সুরক্ষা দাবি করে তবে বিকাশকারীদের অনুসরণ করতে হবে।
"প্রত্যেকেরই অ্যান্ড্রয়েড ব্যবহারকারী হিসাবে একটি স্ট্যান্ডার্ড নির্ধারণ এবং নিজেকে এবং আপনার বাচ্চাদের শিক্ষিত করার দায়িত্ব রয়েছে, " ফাইন বলেছেন। "আমাদের বাচ্চারা বড় হচ্ছে, তারা এমন কোনও সময় জানতে পারবে না যখন সমস্ত কিছু ভাগ করা হয়নি" " সূক্ষ্ম অব্যাহত রেখেছিল যে বিকাশকারীরা, "দায়িত্বের একই ধারণা বোধ করা দরকার।
