SHEIN شاپنگ ایپ بدمعاش ہے، آپ کے کلپ بورڈ سے قیمت اور یو آر ایل ڈیٹا پکڑتی ہے۔

SHEIN شاپنگ ایپ بدمعاش ہے، آپ کے کلپ بورڈ سے قیمت اور یو آر ایل ڈیٹا پکڑتی ہے۔

ٹائم سٹیمپ: 10 مارچ 2023 شام 12:58 بجے
by پال ڈکلن

چینی "تیز فیشن" برانڈ SHEIN تنازعات کا کوئی اجنبی نہیں ہے، کم از کم 2018 کے ڈیٹا کی خلاف ورزی کی وجہ سے جو اس کی اس وقت کی پیرنٹ کمپنی Zoetop اسے روکنے میں ناکام رہی، اور پھر بے ایمانی سے ہینڈل ہوئی۔

جیسا کہ ریاست نیویارک کے اٹارنی جنرل لیٹیا جیمز نے ایک میں کہا بیان 2022 کے آخر میں:

SHEIN اور [سسٹر برانڈ] ROMWE کے کمزور ڈیجیٹل حفاظتی اقدامات نے ہیکرز کے لیے صارفین کا ذاتی ڈیٹا خریدنا آسان بنا دیا۔ […]

ذاتی ڈیٹا چوری ہو گیا اور Zoetop نے اسے چھپانے کی کوشش کی۔ صارفین کے ذاتی ڈیٹا کی حفاظت میں ناکامی اور اس کے بارے میں جھوٹ بولنا رجحان کی بات نہیں ہے۔ SHEIN اور ROMWE کو صارفین کو دھوکہ دہی اور شناخت کی چوری سے بچانے کے لیے اپنے سائبر سیکیورٹی اقدامات کو بٹن اپ کرنا چاہیے۔

نیویارک کی عدالت کے فیصلے کے وقت، ہم نے کاروبار کی پہنچ کو دیکھتے ہوئے، بظاہر معمولی $1.9 ملین جرمانے پر حیرت کا اظہار کیا:

سچ کہوں تو ہم حیران ہیں کہ Zoetop (اب امریکہ میں SHEIN ڈسٹری بیوشن کارپوریشن) کمپنی کے سائز، دولت اور برانڈ کی طاقت کو دیکھتے ہوئے اس قدر ہلکے سے اتر گئی، اس میں بنیادی احتیاطی تدابیر کی بھی ظاہری کمی جو لاحق خطرے کو روک سکتی تھی یا کم کر سکتی تھی۔ خلاف ورزی کے ذریعہ، اور اس کے معلوم ہونے کے بعد خلاف ورزی کو سنبھالنے میں اس کی جاری بے ایمانی۔

Snoopy ایپ کوڈ اب سامنے آیا ہے۔

جو بات ہم نہیں جانتے تھے، یہاں تک کہ جب یہ معاملہ نیویارک کے عدالتی نظام میں پیس رہا تھا، وہ یہ تھا کہ SHEIN اپنی اینڈرائیڈ ایپ میں کچھ متجسس (اور مشکوک، اگر حقیقت میں بدنیتی پر مبنی نہیں) کوڈ شامل کر رہا تھا جس نے اسے ایک بنیادی قسم میں بدل دیا۔ مارکیٹنگ سپائیویئر ٹول"۔

یہ خبر اس ہفتے کے شروع میں سامنے آئی جب مائیکروسافٹ کے محققین نے ایک شائع کیا۔ سابقہ ​​تجزیہ SHEIN کی Android ایپ کے ورژن 7.9.2 کا، ابتدائی 2022 سے۔

اگرچہ مائیکروسافٹ کی جانب سے اپنے مشکوک رویے کی اطلاع دینے کے بعد سے ایپ کے اس ورژن کو کئی بار اپ ڈیٹ کیا جا چکا ہے، اور اگرچہ گوگل نے اب اینڈرائیڈ میں کچھ تخفیفات شامل کی ہیں (نیچے ملاحظہ کریں) تاکہ آپ کو ایسی ایپس کو تلاش کرنے میں مدد ملے جو شین کی طرح کی دھوکہ دہی سے بچنے کی کوشش کرتی ہیں…

…یہ کہانی ایک مضبوط یاد دہانی ہے کہ گوگل پلے میں "جانچ اور منظور شدہ" ایپس بھی منحوس طریقوں سے کام کر سکتی ہیں جو آپ کی رازداری اور سلامتی کو نقصان پہنچاتی ہیں - جیسا کہ ان کے معاملے میں بدمعاش "Authenticator" ایپس ہم نے دو ہفتے پہلے لکھا تھا۔

مائیکروسافٹ کے محققین نے یہ نہیں بتایا کہ اس مخصوص SHEIN ایپ میں ان کی دلچسپی کس چیز نے پیدا کی۔

ہم سب جانتے ہیں، ہو سکتا ہے کہ انہوں نے بہت زیادہ ڈاؤن لوڈ کی تعداد کے ساتھ ایپس کا نمائندہ نمونہ منتخب کیا ہو اور دلچسپ اہداف کی ایک مختصر فہرست بنانے کے لیے سسٹم کے فنکشنز پر دلچسپ یا غیر متوقع کالوں کے لیے خود بخود اپنے ڈی کمپائل شدہ کوڈ کو تلاش کیا ہو۔

محققین کے اپنے الفاظ میں:

رویے کے لیے ذمہ دار متعلقہ کوڈ کی شناخت کے لیے ہم نے پہلے ایپ کا ایک مستحکم تجزیہ کیا۔ اس کے بعد ہم نے کوڈ کا مشاہدہ کرنے کے لیے ایپ کو آلات والے ماحول میں چلا کر ایک متحرک تجزیہ کیا، جس میں یہ بھی شامل ہے کہ اس نے کلپ بورڈ کو کیسے پڑھا اور اس کے مواد کو ریموٹ سرور کو کیسے بھیجا ہے۔

SHEIN کی ایپ کو 100M+ ڈاؤن لوڈز کے طور پر نامزد کیا گیا ہے، جو کہ فیس بک (5B+)، ٹویٹر (1B+) اور TikTok (1B+) جیسی سپر ہائی فلائنگ ایپس کے نیچے ایک مناسب طریقہ ہے، لیکن وہاں پر دیگر معروف اور وسیع پیمانے پر استعمال ہونے والی ایپس کے ساتھ۔ ایپس جیسے سگنل (100M+) اور McDonald's (100M+)۔

کوڈ میں کھودنا

ایپ بذات خود بہت بڑی ہے، جس کا وزن APK فارم میں 93 MBytes ہے (ایک APK فائل، مختصر کے لیے اینڈرائیڈ پیکیج، بنیادی طور پر ایک کمپریسڈ زپ آرکائیو ہے) اور پیک کھولنے اور نکالنے پر 194 ایم بی بائٹس۔

اس میں اعلی درجے کے نام کے ساتھ پیکجوں کے سیٹ میں لائبریری کوڈ کا ایک بڑا حصہ شامل ہے com.zzkko (ZZKKO SHEIN کا اصل نام تھا) جس میں ایک پیکج میں یوٹیلیٹی روٹین کا ایک سیٹ بھی شامل ہے com.zzkko.base.util.

ان بنیادی افادیت میں ایک فنکشن شامل ہے جسے کہا جاتا ہے۔ PhoneUtil.getClipboardTxt() جو درآمد شدہ اینڈرائیڈ کوڈنگ ٹولز کا استعمال کرتے ہوئے کلپ بورڈ کو پکڑ لے گا۔ android.content.ClipboardManager:

SHEIN shopping app goes rogue, grabs price and URL data from your clipboard PlatoBlockchain Data Intelligence. Vertical Search. Ai.

اس یوٹیلیٹی فنکشن میں کالز کے لیے SHEIN/ZZKKO کوڈ کو تلاش کرنے سے پتہ چلتا ہے کہ یہ صرف ایک جگہ استعمال ہوا ہے، ایک پیکیج جس کا نام دلچسپ ہے com.zzkko.util.­MarketClipboardPhaseLinker:

SHEIN shopping app goes rogue, grabs price and URL data from your clipboard PlatoBlockchain Data Intelligence. Vertical Search. Ai.

جیسا کہ مائیکروسافٹ کے تجزیے میں بیان کیا گیا ہے، یہ کوڈ، جب ٹرگر ہوتا ہے، کلپ بورڈ میں جو کچھ ہوتا ہے اسے پڑھتا ہے، اور پھر یہ دیکھنے کے لیے ٹیسٹ کرتا ہے کہ آیا اس میں دونوں موجود ہیں یا نہیں۔ :// اور $جیسا کہ آپ توقع کر سکتے ہیں کہ اگر آپ کسی اور کی ویب سائٹ اور ڈالر میں قیمت پر مشتمل تلاش کے نتائج کو کاپی اور پیسٹ کریں گے:

SHEIN shopping app goes rogue, grabs price and URL data from your clipboard PlatoBlockchain Data Intelligence. Vertical Search. Ai.

اگر ٹیسٹ کامیاب ہو جاتا ہے، تو کوڈ غیر تصوراتی (اور ممکنہ طور پر خود کار طریقے سے تیار کردہ) نام کے ساتھ پیکج میں مرتب کردہ فنکشن کو کال کرتا ہے۔ k()، اسے پیرامیٹر کے طور پر اسنوپڈ آن ٹیکسٹ کی ایک کاپی بھیجنا:

SHEIN shopping app goes rogue, grabs price and URL data from your clipboard PlatoBlockchain Data Intelligence. Vertical Search. Ai.

جیسا کہ آپ دیکھ سکتے ہیں، یہاں تک کہ اگر آپ پروگرامر نہیں ہیں، وہ غیر دلچسپ فنکشن k() سنیفڈ آؤٹ کلپ بورڈ ڈیٹا کو a میں پیک کرتا ہے۔ POST درخواست، جو کہ ایک خاص قسم کا HTTP کنکشن ہے جو سرور کو بتاتا ہے، "یہ روایتی GET درخواست نہیں ہے جہاں میں آپ سے مجھے کچھ بھیجنے کے لیے کہہ رہا ہوں، بلکہ ایک اپ لوڈ کی درخواست ہے جس میں میں آپ کو ڈیٹا بھیج رہا ہوں۔"

۔ POST اس معاملے میں درخواست URL پر اپ لوڈ کی جاتی ہے۔ https://api-service.shein.com/marketing/tinyurl/phrase، HTTP مواد کے ساتھ جو عام طور پر کچھ اس طرح نظر آئے گا:

 POST //marketing/tinyurl/phrase میزبان: api-service.shein.com۔ . . مواد کی قسم: ایپلی کیشن/x-www-form-urlencoded جملہ=...پیرامیٹر کے انکوڈ شدہ مواد کو k()...

جیسا کہ مائیکروسافٹ نے اپنی رپورٹ میں احسان مندی سے نوٹ کیا:

اگرچہ ہم SHEIN کے کسی بدنیتی پر مبنی ارادے سے واقف نہیں ہیں، لیکن ایپلی کیشنز میں بظاہر نرم رویوں کا بھی بدنیتی پر مبنی ارادے سے فائدہ اٹھایا جا سکتا ہے۔ کلپ بورڈز کو نشانہ بنانے کی دھمکیاں کسی بھی کاپی اور پیسٹ کی گئی معلومات کو حملہ آوروں کے ذریعے چوری یا تبدیل کیے جانے کے خطرے میں ڈال سکتی ہیں، جیسے کہ پاس ورڈ، مالی تفصیلات، ذاتی ڈیٹا، کریپٹو کرنسی والیٹ کے پتے اور دیگر حساس معلومات۔

آپ کے کلپ بورڈ میں ڈالر کے نشانات ہمیشہ قیمت کی تلاش کی نشاندہی نہیں کرتے ہیں، کم از کم اس لیے نہیں کہ دنیا کے زیادہ تر ممالک کے پاس کرنسیاں ہیں جو مختلف علامتیں استعمال کرتی ہیں، اس لیے ذاتی معلومات کی ایک وسیع رینج کو اس طرح سے نکالا جا سکتا ہے…

…لیکن یہاں تک کہ اگر پکڑا گیا ڈیٹا واقعی ایک معصوم اور غیر اہم تلاش سے آیا تھا جو آپ نے کہیں اور کیا تھا، تب بھی یہ آپ کا نہیں بلکہ کسی اور کا کاروبار ہوگا۔

یو آر ایل انکوڈنگ کا استعمال عام طور پر اس وقت کیا جاتا ہے جب آپ ڈیٹا کے طور پر یو آر ایل کو منتقل کرنا چاہتے ہیں، اس لیے انہیں "لائیو" یو آر ایل کے ساتھ نہیں ملایا جا سکتا ہے جن کو ملاحظہ کیا جانا چاہیے، اور تاکہ ان میں کوئی غیر قانونی حروف نہ ہوں۔ مثال کے طور پر، یو آر ایل میں خالی جگہوں کی اجازت نہیں ہے، لہذا وہ یو آر ایل ڈیٹا میں تبدیل ہو جاتے ہیں۔ %20، جہاں فیصد نشان کا مطلب ہے "خصوصی بائٹ دو ہیکساڈیسیمل حروف کے طور پر آتا ہے"، اور 20 خلا کے لیے ہیکساڈیسیمل ASCII کوڈ ہے (اعشاریہ میں 32)۔ اسی طرح، ایک خاص ترتیب جیسے :// میں ترجمہ کیا جائے گا۔ %3A%2F%2Fکیونکہ ایک بڑی آنت ASCII 0x3A (اعشاریہ میں 58) ہے اور فارورڈ سلیش 0x2F (اعشاریہ میں 47) ہے۔ ڈالر کے نشان کے طور پر باہر آتا ہے %24 (اعشاریہ میں 36)۔

کیا کیا جائے؟

مائیکروسافٹ کے مطابق، دوسری صورت میں قابل اعتماد ایپس میں اس قسم کے رویے پر گوگل کا ردعمل - جسے آپ "غیر ارادی دھوکہ" کے طور پر سوچ سکتے ہیں - اینڈرائیڈ کے کلپ بورڈ ہینڈلنگ کوڈ کو بہتر بنانا تھا۔

غالباً، کلپ بورڈ تک رسائی کی اجازتوں کو بہت زیادہ سخت اور زیادہ پابندی والا بنانا تھیوری میں ایک بہتر حل ہوتا، جیسا کہ Play Store ایپ کی جانچ کے ساتھ زیادہ سخت ہونا تھا، لیکن ہم یہ فرض کر رہے ہیں کہ ان ردعمل کو عملی طور پر بہت زیادہ دخل اندازی سمجھا جاتا تھا۔

واضح طور پر، آپ کے پاس اینڈرائیڈ کا جتنا حالیہ ورژن ہے (یا اس میں اپ گریڈ کر سکتے ہیں)، کلپ بورڈ کا اتنا ہی زیادہ پابندی سے انتظام کیا جاتا ہے۔

بظاہر، اینڈرائیڈ 10 اور بعد میں، کوئی ایپ کلپ بورڈ کو بالکل نہیں پڑھ سکتی جب تک کہ وہ پیش منظر میں فعال طور پر چل رہی ہو۔

بلاشبہ، اس سے زیادہ مدد نہیں ملتی، لیکن یہ ان ایپس کو روکتا ہے جنہیں آپ نے بیکار چھوڑ دیا ہے اور شاید ہر وقت آپ کی کاپی اور پیسٹ کرنے پر جاسوسی کرنا بھی بھول گئے ہیں۔

اینڈرائیڈ 12 اور اس کے بعد کے ورژن "آپ کے کلپ بورڈ سے XYZ ایپ پیسٹ کی گئی" کہنے کے لیے ایک انتباہی پیغام پاپ اپ کریں گے، لیکن بظاہر یہ انتباہ صرف پہلی بار ظاہر ہوتا ہے جب یہ کسی بھی ایپ کے لیے ہوتا ہے (جو اس وقت ہوسکتا ہے جب آپ نے اس کی توقع کی ہو)، بعد میں آنے والے کلپ بورڈ پر نہیں (جب آپ نے نہیں کیا)۔

اور اینڈروئیڈ 13 خود بخود کلپ بورڈ کو ہر بار مٹا دیتا ہے (ہمیں یقین نہیں ہے کہ حقیقت میں کتنی بار ہے) اس ڈیٹا کو روکنے کے لیے جسے آپ غیر معینہ مدت تک جھوٹ بولنا بھول گئے ہوں گے۔

یہ دیکھتے ہوئے کہ گوگل بظاہر کلپ بورڈ تک رسائی کو اتنی سختی سے کنٹرول کرنے کا ارادہ نہیں رکھتا جیسا کہ آپ امید کر سکتے ہیں، ہم یہاں مائیکروسافٹ کے مشورے کو دہرائیں گے، جو ان خطوط پر چلتا ہے، "اگر آپ کچھ دیکھتے ہیں تو کچھ بولیں... اور اپنے پیروں سے ووٹ دیں، یا کم از کم تمہاری انگلیاں":

غیر متوقع رویوں والی ایپلیکیشنز کو ہٹانے پر غور کریں، جیسے کلپ بورڈ تک رسائی […]اطلاعات، اور رویے کی اطلاع وینڈر یا ایپ اسٹور آپریٹر کو دیں۔

اگر آپ کے پاس کمپنی کے موبائل آلات کا بیڑا ہے، اور آپ نے ابھی تک موبائل ڈیوائس مینجمنٹ اور اینٹی میلویئر تحفظ کی کوئی شکل اختیار نہیں کی ہے، تو کیوں نہ اس پر ایک نظر ڈالیں۔ اب پیشکش پر کیا ہے?

SHEIN shopping app goes rogue, grabs price and URL data from your clipboard PlatoBlockchain Data Intelligence. Vertical Search. Ai.

ٹائم اسٹیمپ:

سے زیادہ ننگی سیکیورٹی