ደህንነታቸው የተጠበቀ የግፋ ማሳወቂያዎች፡ ከቲዎሪ ወደ ልምምድ

ሃይ ሀብር!

ዛሬ እኔ እና የስራ ባልደረቦቼ ለብዙ ወራት እያደረግን ስለነበረው ነገር እናገራለሁ፡ ለሞባይል ፈጣን መልእክተኞች የግፋ ማስታወቂያዎች። ቀደም ሲል እንደተናገርኩት, በእኛ መተግበሪያ ውስጥ ዋናው አጽንዖት ለደህንነት ነው. ስለዚህ፣ የግፋ ማሳወቂያዎች “ደካማ ነጥቦች” እንዳላቸው እና ከሆነ፣ ይህን ጠቃሚ አማራጭ በአገልግሎታችን ላይ ለመጨመር እንዴት ደረጃ ልናወጣላቸው እንደምንችል ደርሰንበታል።

የኛን ትርጉም እያተምኩ ነው። ጽሑፎች ከመካከለኛው ከራሴ አንዳንድ ትናንሽ ተጨማሪዎች ጋር። የ "ምርመራ" ውጤቶችን እና ችግሩ እንዴት እንደተፈታ ታሪክ ይዟል.

ቁሳቁሱን እንመረምራለን

በሚታወቀው ሞዴል፣ የግፋ ማስታወቂያዎች መልእክተኞችን ለ MITM (ሰው-በመካከለኛው) ጥቃቶች ተጋላጭ ያደርጋቸዋል። ለምሳሌ, በ Google, በማይክሮሶፍት እና በአሮጌው የ iMessage ስሪት, አፕሊኬሽኑ የምስጠራ ቁልፎችን ወደ አፕል አገልጋዮች ይልካል - በአገልጋዩ ላይ, ተጠቃሚዎች የተረጋገጡ እና የመልዕክቱ ራስጌ (ወይም ይዘቱ) ዲክሪፕት ይደረጋል.

በውጤቱም, የግፋ ማሳወቂያ አገልጋይን በማግኘት የደብዳቤ ልውውጥን ለማንበብ እድሉ አለ. ይህ ማለት ማንኛውም የደብዳቤ ምስጠራ ምንም ፋይዳ የለውም ማለት ነው፡ የግፋ ማሳወቂያዎች አሁንም በሶስተኛ ወገኖች የመነበብ እድል ይተዉታል። የአንቀጹ ደራሲዎች ስለዚህ ጉዳይ የበለጠ በዝርዝር ተወያይተዋል. "በትክክል አመስጥር" በ Xaker.ru ላይ መልዕክቶችን ለማመስጠር ዘዴዎች የተዘጋጀ።

የአፕል እና የጉግል ሰርቨሮች የተጠቃሚ ምስጠራ ቁልፎችን ከማፍሰስ 100% ደህንነታቸው የተጠበቀ ነው ብለው ካሰቡ ሰራተኞቻቸው እነሱን ማግኘት እንደሚችሉ አስቡበት። እና ሰራተኞች ሰዎች ናቸው.
የግፋ ማሳወቂያዎች ሁሉ ተጋላጭነቶች ቢኖሩም፣ ሲግናል እና ቴሌግራምን ጨምሮ ብዙ “ደህንነታቸው የተጠበቁ” ፈጣን መልእክተኞች ይጠቀማሉ። ያለበለዚያ ተጠቃሚዎች በየጊዜው ወደ አፕሊኬሽኑ በመግባት አዳዲስ መልዕክቶችን “በእጅ” መከታተል አለባቸው። የትኛው በጣም የማይመች ነው, እና ተፎካካሪ መልእክተኞች ጥቅም ያገኛሉ.

ፓራኖያ እና የጋራ አስተሳሰብ

በፕሮጀክታችን ውስጥ, ይህንን ጉዳይ ከብዙ ወራት በፊት በቅርበት አንስተነዋል. ተወዳዳሪ ለመሆን የግፋ ማሳወቂያ አማራጭ ማከል ነበረብን። ግን በተመሳሳይ ጊዜ የደህንነት ጉድጓድ አይክፈቱ, ምክንያቱም ማንኛውም የውሂብ መፍሰስ በፕሮጀክቱ ላይ ያለውን እምነት ይቀንሳል.

ሆኖም ፣ እኛ ቀድሞውኑ አንድ ጠቃሚ ጥቅም አለን-የእኛ መልእክተኛ ያልተማከለ ነው (መረጃ በብሎክቼይን ላይ ተከማችቷል) እና ሰራተኞች የመለያ መዳረሻ የላቸውም። የምስጠራ ቁልፎች ያላቸው ተጠቃሚዎች ብቻ ናቸው፣ እና ከMITM ጥቃቶች ለመከላከል የኢንተርሎኩተሮች የህዝብ ቁልፎች በብሎክቼይን ይገኛሉ።

በመጀመሪያው የግፋ ማሳወቂያዎች እትም በተቻለ መጠን ደህንነቱ በተጠበቀ ሁኔታ ለመጫወት ወስነናል እና የመልእክቱን ጽሑፍ በጭራሽ ላለማስተላለፍ። የግፋ አገልግሎቱ የመልእክቱን ጽሑፍ ከመስቀያው ላይ አልተቀበለም ፣ ግን ስለ ደረሰኙ እውነታ ምልክት ብቻ ነው። ስለዚህ, ተጠቃሚው "አዲስ መልእክት ደርሷል" ማስታወቂያ አይቷል. ማንበብ የሚቻለው በመልእክተኛው ውስጥ ብቻ ነው።

እንዴት እንደሚሰራ: ቪዲዮ.

ከዚያ በኋላ፣ የአፕል የቅርብ ጊዜ የማሳወቂያ ስሪት አዲስ የደህንነት ባህሪያት እንዳሉት ተምረናል። እነሱ የተለቀቀ UNNotificationServiceExtension፣ ገንቢዎች ሙሉ በሙሉ የተመሰጠረ የማሳወቂያ ውሂብ በAPNS እንዲልኩ ያስችላቸዋል። በዋና ተጠቃሚው መሣሪያ ላይ ያለው መተግበሪያ ዲክሪፕት ማድረግን (ወይም ተጨማሪ ውሂብን ያውርዳል) እና ማሳወቂያ ያሳያል። ለሁለተኛው የግፋ ማሳወቂያዎች ስሪት መሠረት አድርገን ወስደነዋል።

አሁን ለ iOS ሁለተኛውን የግፋ ማሳወቂያዎችን አዘጋጅተናል, ይህም የመልዕክቱን ጽሁፍ ያለ የደህንነት ስጋት እንዲያሳዩ ያስችልዎታል. በአዲሱ ጽንሰ-ሐሳብ, አመክንዮው ይህን ይመስላል.

• የግፋ አገልግሎት ከግብይቱ ቁጥሩ ጋር የግፋ ማስታወቂያ ይልካል (የተመሰጠረው መልእክት በጣም ትልቅ ሊሆን ይችላል፣ እና የማሳወቂያዎች መጠን በጣም የተገደበ ነው)
• መሣሪያው ማሳወቂያ ሲደርሰው የኛን NotificationServiceExtension ያስነሳል - ከኖድ በ id ግብይት የሚጠይቅ ማይክሮ መተግበሪያ የተቀመጠ የይለፍ ሐረግ ተጠቅሞ ዲክሪፕት ያደርጋል እና አዲስ ማሳወቂያ ወደ ስርዓቱ ይልካል። የይለፍ ሐረጉ ደህንነቱ በተጠበቀ ማከማቻ ውስጥ ተከማችቷል።
• ስርዓቱ ዲክሪፕት የተደረገ መልእክት ወይም ትርጉም ያለው ማሳወቂያ ያሳያል።
• ቁልፎቹ የትም አይሄዱም ፣ ልክ እንደ ግልፅ የጽሑፍ መልእክት። የግፋ አገልግሎት መልእክቱን የሚፈታበት መንገድ የለውም።

ይህን ስሪት እየሰራን እንደሆነ ተቀብለነዋል እና በአዲሱ የ iOS መተግበሪያ ማሻሻያ ላይ ተግባራዊ አድርገነዋል።
በቴክኒካል በኩል ፍላጎት ያላቸው ሰዎች የምንጭ ኮዱን ማየት ይችላሉ- github.com/Adamant-im/adamant-notification አገልግሎት.

ምንጭ: hab.com