سفاری سائیڈ چینل اٹیک براؤزر چوری کو قابل بناتا ہے۔

محققین نے Apple CPUs کے لیے ایک سائیڈ چینل ایکسپلائٹ تیار کیا ہے، جس سے نفیس حملہ آوروں کو براؤزرز سے حساس معلومات نکالنے میں مدد ملتی ہے۔

سائیڈ چینل حملوں کو عام طور پر نظر انداز کیا جاتا ہے، اکثر روایتی سافٹ ویئر ہیکس کے جسمانی ہم منصب ہوتے ہیں۔ کسی پروگرام میں غیر محفوظ پاس ورڈ یا کمزوری کے بجائے، وہ کمپیوٹر سسٹم یا ہارڈویئر کی طرف سے پیدا کردہ اضافی معلومات سے فائدہ اٹھاتے ہیں — آواز، روشنی، یا برقی مقناطیسی تابکاری کی شکل میں، مثال کے طور پر، یا اس وقت میں جو اسے مکمل کرنے میں لگتا ہے۔ حسابات (ایک ٹائمنگ حملہ).

بدھ کے روز، چار محققین - جن میں سے دو کو بے نقاب کرنے کے ذمہ دار بھی شامل ہیں۔ سپیکٹر پروسیسر کی کمزوری واپس 2018 میں - تفصیلات شائع کیں۔ اس طرح کے حملے کا، جسے انہوں نے "iLeakage" کا نام دیا ہے، جو تمام حالیہ آئی فون، آئی پیڈ، اور میک بک ماڈلز کو متاثر کرتا ہے۔

محققین نے 12 ستمبر 2022 کو ایپل کو اپنے نتائج سے آگاہ کیا، ان کی ویب سائٹ کے مطابق، اور کمپنی نے تب سے ایک تخفیف تیار کی ہے۔ تاہم، اسے اب بھی غیر مستحکم سمجھا جاتا ہے، یہ آلات پر بطور ڈیفالٹ فعال نہیں ہے، اور تخفیف صرف Macs پر ممکن ہے، موبائل آلات پر نہیں۔

پس منظر پر ڈارک ریڈنگ کو فراہم کردہ تبصروں میں، ایپل کے ترجمان نے لکھا، "تصور کا یہ ثبوت اس قسم کے خطرات کے بارے میں ہماری سمجھ کو آگے بڑھاتا ہے۔ ہم اس مسئلے سے واقف ہیں اور اس کو ہماری اگلی شیڈول سافٹ ویئر ریلیز میں حل کیا جائے گا۔

iLeakage کیسے کام کرتا ہے۔

iLeakage A- اور کا فائدہ اٹھاتا ہے۔ ایم سیریز ایپل سلیکون سی پی یوز قیاس آرائی پر عمل درآمد کرنے کی صلاحیت۔

قیاس آرائی پر عمل درآمد ایک ایسا طریقہ ہے جس کے ذریعے جدید CPUs کاموں کو اشارہ کرنے سے پہلے ہی ان کی معلومات کی پروسیسنگ کو تیز کرنے کے لیے پیش گوئی کرتے ہیں۔ "یہ تکنیک 20 سال سے زیادہ عرصے سے ہے، اور آج تمام جدید CPUs اسے استعمال کر رہے ہیں - یہ پروسیسنگ کو نمایاں طور پر تیز کرتا ہے، حتیٰ کہ اس سے متوقع ہدایات کو غلط ہونے کے اوقات کا حساب دینا بھی ممکن ہے،" Viakoo Labs کے نائب صدر جان گیلاگھر بتاتے ہیں۔

رگڑ یہ ہے کہ "سی پی یو کے اندر کیشے میں بہت زیادہ قیمتی ڈیٹا ہوتا ہے، بشمول آنے والی ہدایات کے لیے کیا کیا جا سکتا ہے۔ iLeakage ان مشمولات تک رسائی حاصل کرنے کے لیے جاوا اسکرپٹ کو استعمال کرنے کے لیے براؤزر کے اندر Apple WebKit کی صلاحیتوں کا استعمال کرتا ہے۔

خاص طور پر، محققین نے ایک نئے قیاس پر مبنی گیجٹ کا استعمال کسی دوسرے ویب پیج کے مواد کو پڑھنے کے لیے کیا جب کسی شکار نے اپنے بدنیتی پر مبنی ویب پیج پر کلک کیا۔

"اکیلے، WebKit کیش کے مواد کو ظاہر کرنے کے قابل نہیں بنائے گا، اور نہ ہی A-Series اور M-Series قیاس آرائیوں کو کیسے انجام دیتے ہیں - یہ دونوں کا ایک ساتھ مجموعہ ہے جو اس استحصال کا باعث بنتا ہے،" گالاگھر بتاتے ہیں۔

میلٹ ڈاؤن/سپیکٹر کا جانشین

"یہ سی پی یو کی کمزوریوں کے خلاف حملوں کی ایک لائن پر بنتا ہے جو 2017 کے آس پاس شروع ہوا تھا۔ میل ٹاؤن اور سپیکٹرمینلو سیکیورٹی کے چیف سیکیورٹی آرکیٹیکٹ لیونل لیٹی نے بتایا۔ "اعلی سطح پر، آپ ایپلی کیشنز اور پروسیسز کے بارے میں سوچنا چاہتے ہیں، اور اس بات پر بھروسہ کرتے ہیں کہ ہارڈ ویئر کی مدد سے آپریٹنگ سسٹم ان کو ایک دوسرے سے صحیح طریقے سے الگ کر رہا ہے،" لیکن ان دو کارناموں نے مختلف ایپلی کیشنز، اور ایک ایپلی کیشن اور آپریٹنگ کے درمیان بنیادی تنہائی کو توڑ دیا۔ وہ کہتے ہیں کہ سسٹم، جسے ہم صارفین کے طور پر قدر کی نگاہ سے دیکھتے ہیں۔

iLeakage، پھر، ایک روحانی جانشین ہے جو براؤزر ٹیبز کے درمیان تنہائی کو توڑنے پر توجہ مرکوز کرتا ہے۔

اچھی خبر یہ ہے کہ، اپنی ویب سائٹ کے FAQ سیکشن میں، محققین نے iLeakage کو "آخر سے آخر تک آرکیسٹریٹ کرنے کے لیے ایک خاصا مشکل حملہ" کے طور پر بیان کیا، جس کے لیے "براؤزر پر مبنی سائیڈ چینل حملوں اور سفاری کے نفاذ کے بارے میں جدید معلومات کی ضرورت ہے۔" انہوں نے یہ بھی نوٹ کیا کہ جنگل میں کامیاب استحصال کا مظاہرہ نہیں کیا گیا ہے۔

کیا ایک کافی قابل حملہ آور ساتھ آکر اسے آزمانے کے لیے، تاہم، یہ طریقہ اتنا طاقتور ہے کہ کسی بھی ڈیٹا استعمال کرنے والے کو آن لائن ٹریفک کے بارے میں گھیر لے: لاگ ان، سرچ ہسٹری، کریڈٹ کارڈ کی تفصیلات، آپ کے پاس کیا ہے۔ میں یو ٹیوب پر ویڈیوز، محققین نے یہ ظاہر کیا کہ کس طرح ان کا استحصال متاثرین کے Gmail ان باکسز، ان کے YouTube دیکھنے کی سرگزشت، اور ان کے Instagram پاس ورڈز کو صرف چند مثالوں کے طور پر بے نقاب کر سکتا ہے۔

آئی فون کے صارفین خاص طور پر متاثر ہوتے ہیں۔

اگرچہ یہ خاص طور پر سفاری کے جاوا اسکرپٹ انجن میں موجود محاورات سے فائدہ اٹھاتا ہے، iLeakage iOS پر تمام براؤزرز کو متاثر کرتا ہے، کیونکہ Apple کی پالیسیاں تمام iPhone براؤزر ایپس کو Safari کا انجن استعمال کرنے پر مجبور کرتی ہیں۔

"IOS پر Chrome، Firefox اور Edge سفاری کے اوپر صرف ریپر ہیں جو بُک مارکس اور سیٹنگز کو سنکرونائز کرنے جیسی معاون خصوصیات فراہم کرتے ہیں۔ نتیجتاً، ایپ سٹور پر درج تقریباً ہر براؤزر ایپلیکیشن iLeakage کے لیے خطرناک ہے،" محققین نے وضاحت کی۔

آئی فون کے صارفین دوگنا مشکل میں ہیں، کیونکہ ایپل نے اب تک جو بہترین حل جاری کیا ہے وہ صرف MacBooks پر کام کرتا ہے (اور اس معاملے میں، صرف غیر مستحکم حالت میں)۔ لیکن اپنے حصے کے لیے، گیلاگھر نے ایپل کی ایک موثر تدارک کو ڈیزائن کرنے کی صلاحیت کی حمایت کی۔

"چپ کی سطح کی کمزوریوں کو عام طور پر پیچ کرنا مشکل ہے، یہی وجہ ہے کہ یہ حیرت کی بات نہیں ہے کہ ابھی اس کا کوئی حل نہیں ہے۔ اس میں وقت لگے گا، لیکن بالآخر اگر یہ ایک حقیقی استحصالی خطرہ بن جاتا ہے تو ممکنہ طور پر ایک پیچ دستیاب ہو جائے گا،" وہ کہتے ہیں۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/vulnerabilities-threats/safari-side-channel-attack-enables-browser-theft