جو آپ کے فیس بک اکاؤنٹ کو چوری کرسکتا ہے وہ تصویر

اگلے ہفتے لاس ویگاس میں بلیک ہیک کمپیوٹر سیکیورٹی کانفرنس میں، محققین ان سافٹ ویئر کا مظاہرہ کریں گے جنہوں نے ان کی ترقی کی ہے کہ مقبول ویب سائٹس جیسے فیس بک، ای بے اور گوگل کے صارفین سے آن لائن اسناد کو چوری کرسکتے ہیں.

یہ حملہ ایک نئے قسم کی ہائبرڈ فائل پر منحصر ہے جو مختلف پروگراموں کو مختلف چیزوں کی طرح لگ رہا ہے. ویب سائٹس پر ان فائلوں کو رکھنے کے ذریعے صارفین کو ان کی اپنی تصویروں کو اپ لوڈ کرنے کی اجازت دیتی ہے، محققین سیکیورٹی سسٹم کو مسترد کر سکتے ہیں اور ان ویب سائفروں کے اکاؤنٹس کو لے سکتے ہیں جو ان سائٹس کو استعمال کرتے ہیں.

"ہم جاوا کے ساتھ آتے ہیں این جی ایس سافٹ ویئر میں تحقیق کے نائب صدر جان ہاسمان نے کہا کہ تمام مباحثوں اور مقاصد کے لئے ایک تصویر ہے. "

وہ اس قسم کی فائل GIFAR، GIF (گرافکس انٹرچینج کی شکل) اور جے آر آر آر کا ایک سنکچن)، دو فائل کی اقسام جو مخلوط ہوتے ہیں. سیاہ ہٹ میں، محققین حاضریوں کو دکھائے گی کہ کس طرح کسی وسیع پیمانے پر حملے میں فوری طور پر استعمال ہونے سے بچنے کے لئے چند اہم تفصیلات کو مدنظر رکھتے ہوئے گفار بنانا اور کس طرح تخلیق کریں.

ویب سرور پر، فائل بالکل جی جی فائل کی طرح نظر آتی ہے، تاہم ایک براؤزر جاوا مجازی مشین جاوا آرکائیو فائل کے طور پر اسے کھولیں گے اور پھر اسے ایک ایپل کے طور پر چلائیں گے. یہ حملہ آور کو شکار کے برائوزر میں جاوا کوڈ چلانے کا ایک موقع فراہم کرتا ہے. اس کے حصے کے لئے، براؤزر کو یہ بدسلوکی اپلی کیشن کا علاج کرتا ہے جیسا کہ ویب سائٹ کے ڈویلپرز کے ذریعہ لکھا گیا تھا.

یہاں تک کہ حملے کس طرح کام کرے گا: برا لوگ ان مقبول ویب سائٹس میں سے ایک پر پروفائل بنائیں گے - فیس بک مثال کے طور پر اور ان کے GIFAR سائٹ پر ایک تصویر کے طور پر اپ لوڈ کریں. پھر وہ متاثرہ ویب سائٹ ملاحظہ کرنے کے لئے شکار کو چالیں گے، جو گیف کھولنے کے لئے شکار کے براؤزر کو بتائے گا. اس موقع پر، ایپل براؤزر میں چلائے گا، برا لوگ شکار کے فیس بک اکاؤنٹ تک رسائی حاصل کرتے ہیں.

حملے کسی بھی سائٹ پر کام کرسک سکتا ہے جو صارفین کو فائلوں کو اپ لوڈ کرنے کی اجازت دیتا ہے، ممکنہ طور پر ویب سائٹس پر بھی اپ لوڈ کرنے کے لئے استعمال کیا جا سکتا ہے. بینکنگ کارڈ کی تصاویر یا یہاں تک کہ Amazon.com، وہ بھی کہتے ہیں.

کیونکہ جاوا کے ذریعہ GIFAR کھولے جاتے ہیں، وہ بہت سے اقسام کے براؤزرز میں کھولے جا سکتے ہیں.

ایک پکڑنے والا ہے. شکار کو ویب سائٹ میں لاگ ان کرنا ہوگا جو کام پر حملہ کرنے کے لئے تصویر کی میزبانی کر رہا ہے. ہاسمان نے کہا کہ "حملے طویل عرصے سے جب تک آپ خود کو لاگ ان میں جانے پر حملہ کرتے ہیں وہ سب سے اچھا کام کرنے جا رہا ہے."

وہاں کئی طریقوں سے گفار حملے ختم ہوسکتے ہیں. ویب سائٹس ان کے فلٹرنگ کے اوزار بن سکتے ہیں تاکہ وہ ہائبرڈ فائلوں کو جگہ لے سکیں. متبادل طور پر، سورج جاوا رن ٹائم ماحول کو اس سے روکنے کے لۓ اس کو روک سکتا ہے. محققین سے توقع ہے کہ سورج کو سیاہ ہٹ بات کرنے کے بعد اس وقت تک ٹھیک نہ ہو.

لیکن محققین کا کہنا ہے کہ جب جاوا فکسڈ اس حملے کے ویکٹر کو غیر فعال کر سکتا ہے، جائز ویب ایپلی کیشنز پر بدقسمتی سے متعلق مواد کا مسئلہ بہت زیادہ ہے. بڑے اور thornier مسئلہ. ارنسٹ اینڈ جوان کے اعلی درجے کی سیکیورٹی سینٹر کے ایک محقق گفٹ ڈویلپر ناٹھن میکفٹرز نے کہا کہ "دیگر ٹیکنالوجیوں کے ساتھ ایسا کرنے کے دوسرے طریقوں ہوں گے."

"طویل عرصے میں، ویب ایپلی کیشنز کو کنٹرول کرنے کے لئے مواد، "McFeters نے کہا. "یہ ایک ویب ایپلیکیشن کا مسئلہ ہے. جووا حملہ اس وقت استعمال کررہے ہیں جو صرف ایک ویکٹر ہے."

وہ اور اس کے ساتھی بلیک ہیک کے ناظرین نے ان باتوں کا حق حاصل کیا ہے جو انٹرنیٹ ٹوٹا ہوا ہے.

بالآخر، براؤزر سازوں کے پاس وائٹ ٹوپی سیکیورٹی کے سربراہ، اعلی ٹیکنالوجی افسر یرمیا گراسمین نے کہا کہ ان کے سافٹ ویئر میں بھی کچھ بنیادی تبدیلیوں کو بنانے کے لئے. انہوں نے کہا کہ "یہ نہیں ہے کہ انٹرنیٹ ٹوٹ گیا ہے." "یہ ہے کہ اس براؤزر کی سلامتی ٹوٹ گئی ہے. براؤزر سیکورٹی واقعی ایک آکسیمور ہے."