अब इंस्टाग्राम को कोई भी कर सकता है हैक

          अब इंस्टाग्राम को कोई भी कर सकता है हैक


साइबरसिटी फर्म चेक प्वाइंट के शोधकर्ताओं ने गुरुवार को कहा कि उन्होंने इंस्टाग्राम ऐप में एक महत्वपूर्ण भेद्यता पाई है 

अब इंस्टाग्राम को कोई भी कर सकता है हैक



     जिसने एक हमलावर को पीड़ित का खाता संभालने की क्षमता दी होगी। इस साल की शुरुआत में, भेद्यता ने हैकर्स को पीड़ितों के फोन को एक जासूसी उपकरण में बदलने की अनुमति दे सकती थी, बस उन्हें एक दुर्भावनापूर्ण छवि फ़ाइल भेजकर।

जब छवि को इंस्टाग्राम ऐप में सेव और ओपन किया जाता है, तो हैकर पीड़ित के इंस्टाग्राम मैसेज और इमेज को हैकर को पूरा एक्सेस दे देता है, जिससे वह फोन पर कॉन्टेक्ट्स, कैमरा और जगह की जानकारी।

   चेक प्वाइंट ने कहा कि फेसबुक और इंस्टाग्राम टीमों के निष्कर्षों के सामने आने के बाद, फेसबुक ने सभी प्लेटफार्मों पर इंस्टाग्राम एप्लिकेशन के नए संस्करणों पर इस मुद्दे को दूर करने के लिए एक पैच जारी किया।

चेक प्वाइंट ने कहा, 
                          "हम सभी इंस्टाग्राम उपयोगकर्ताओं को यह सुनिश्चित करने के लिए
                           प्रोत्साहित करते हैं कि वे नवीनतम इंस्टाग्राम ऐप संस्करण का उपयोग
                              कर रहे हैं और यदि कोई नया संस्करण उपलब्ध है, तो अपडेट करें।"

    ऐप्स के फेसबुक परिवार का एक हिस्सा, Instagram दुनिया भर में सबसे लोकप्रिय सोशल मीडिया प्लेटफार्मों में से एक है, जिसमें हर दिन 100 मिलियन से अधिक तस्वीरें अपलोड की जाती हैं, और लगभग एक बिलियन मासिक सक्रिय उपयोगकर्ता हैं।


    शोधकर्ताओं ने इंस्टाग्राम के मोबाइल ऐप की सुरक्षा की समीक्षा करने का फैसला किया और इसकी लोकप्रियता और व्यापक अनुमति को देखते हुए ऐप उपयोगकर्ताओं से लेना चाहता है।
 अनुसंधान ने एक महत्वपूर्ण भेद्यता का खुलासा किया जो हमलावरों को तकनीकी रूप से "दूरस्थ कोड निष्पादन" या RCE के रूप में संदर्भित करने की अनुमति दे सकता है। यह भेद्यता किसी हमलावर को इंस्टाग्राम ऐप में अपनी इच्छानुसार कोई भी कार्य करने की अनुमति दे सकती है।

   तो इस तरह के एक लोकप्रिय आवेदन में कमजोरियां कैसे शामिल हैं, जब इसे विकसित करने में भारी मात्रा में समय और संसाधनों का निवेश किया जाता है? इसका उत्तर यह है कि अधिकांश आधुनिक ऐप डेवलपर्स वास्तव में अपने दम पर पूरा आवेदन नहीं लिखते हैं: अगर उन्होंने ऐसा किया तो उन्हें आवेदन लिखने में कई साल लग जाएंगे। इसके बजाय, वे इमेज प्रोसेसिंग, साउंड प्रोसेसिंग, नेटवर्क कनेक्टिविटी, आदि जैसे सामान्य (और अक्सर जटिल) कार्यों को संभालने के लिए तीसरे पक्ष के पुस्तकालयों का उपयोग करते हैं।

     यह डेवलपर्स को केवल कोडिंग कार्यों को संभालने के लिए मुक्त करता है, जो एप्लिकेशन कोर व्यापार तर्क का प्रतिनिधित्व करते हैं। हालांकि, यह उन तृतीय-पक्ष पुस्तकालयों पर निर्भर करता है जो पूरी तरह से भरोसेमंद और सुरक्षित हैं।

        चेक प्वाइंट शोधकर्ताओं ने इंस्टाग्राम द्वारा उपयोग किए जाने वाले तीसरे पक्ष के पुस्तकालयों की जांच की। और   उन्हें मिली भेद्यता इस तरह से थी कि Instagram ने Mozjpeg का उपयोग किया था - Instagram द्वारा उपयोग किया जाने वाला एक ओपन-सोर्स प्रोजेक्ट, सेवा में अपलोड की गई छवियों के लिए अपने JPEG प्रारूप छवि विकोडक के रूप में।

     अध्ययन में वर्णित हमले के परिदृश्य में, एक हमलावर बस ईमेल, व्हाट्सएप या किसी अन्य मीडिया एक्सचेंज प्लेटफॉर्म के माध्यम से अपने लक्षित शिकार को एक छवि भेज सकता है। लक्षित उपयोगकर्ता अपने हैंडसेट पर छवि बचाता है, और जब वे इंस्टाग्राम ऐप खोलते हैं, तो शोषण होता है, जिससे हमलावर को फोन में किसी भी संसाधन तक पूर्ण पहुंच की अनुमति मिलती है जो इंस्टाग्राम द्वारा पूर्व-अनुमत है। इन संसाधनों में संपर्क, उपकरण भंडारण, स्थान सेवाएं और डिवाइस कैमरा शामिल हैं।

   वास्तव में, हमलावर को ऐप पर पूर्ण नियंत्रण प्राप्त हो जाता है और वह उपयोगकर्ता की ओर से कार्रवाई कर सकता है, जिसमें उनके इंस्टाग्राम अकाउंट में उनके सभी व्यक्तिगत संदेशों को पढ़ना और इच्छानुसार फ़ोटो  हटाना या पोस्ट करना शामिल है, चेक प्वाइंट ने कहा।

     Google अपने Play Store दिशानिर्देशों के साथ सख्त हो रहा है, और इससे डेवलपर्स के लिए Google में अपनी इन-ऐप खरीदारी को दरकिनार करना कठिन हो जाएगा। बहुत हद तक ऐप्पल के ऐप स्टोर की ज़रूरत है जिसमें सभी ऐप को ऐप के साथ अपनी इन-ऐप खरीदारी आय साझा करने की आवश्यकता होती है, Google चाहता है कि सभी डेवलपर्स अपने ऐप-इन-ऐप राजस्व का 30 प्रतिशत साझा करें।

   एपिक गेम्स जैसे कुछ डेवलपर्स उपयोगकर्ताओं को क्रेडिट कार्ड से भुगतान के वैकल्पिक तरीकों की पेशकश करके सीधे एपिक गेम्स से इन-गेम सामग्री खरीदने के लिए ऐप स्टोर और प्ले स्टोर नीतियों को दरकिनार करने के लिए प्रोत्साहित कर रहे हैं।

   अगले सप्ताह की शुरुआत में इस कदम की घोषणा होने की संभावना है, इससे डेवलपर्स, खासकर छोटे लोग परेशान हो सकते हैं। ब्लूमबर्ग की एक रिपोर्ट के अनुसार, Google इन-ऐप खरीदारी के लिए केवल Google की इन-ऐप बिलिंग सेवा का उपयोग करने के लिए ऐप्स की आवश्यकता को स्पष्ट करते हुए अद्यतन दिशानिर्देश जारी करने जा रहा है।

   हालांकि यहां यह ध्यान दिया जाना चाहिए कि Google की नीति आवश्यक रूप से नहीं बदल रही है, बल्कि, Google उन डेवलपर्स पर नकेल कस रहा है जो उपयोगकर्ताओं को अपने क्रेडिट कार्ड से भुगतान करने के लिए प्रेरित करते हैं, बजाय इन-ऐप खरीदारी के लिए Google की बिलिंग सेवा के माध्यम से सदस्यता प्रदान करने के लिए।

More like it

टिप्पणियां