چیک پوائنٹ ریسرچ کے سیکیورٹی محققین نے ایک ایسے مسئلے کی اطلاع دی ہے جہاں پلے اسٹور کی مقبول اینڈرائیڈ ایپس بغیر کسی پیچ کے رہتی ہیں۔ اس کی وجہ سے ہیکرز انسٹاگرام سے لوکیشن ڈیٹا حاصل کر سکتے ہیں، فیس بک پر پیغامات تبدیل کر سکتے ہیں اور وی چیٹ صارفین کی خط و کتابت بھی پڑھ سکتے ہیں۔
بہت سے لوگوں کا خیال ہے کہ تازہ ترین ورژن میں ایپلی کیشنز کو باقاعدگی سے اپ ڈیٹ کرنے سے آپ اپنے آپ کو قابل اعتماد طریقے سے گھسنے والوں کے حملوں سے محفوظ رکھ سکتے ہیں۔ تاہم، حقیقت میں یہ پتہ چلا کہ یہ تمام معاملات میں نہیں ہوتا ہے. چیک پوائنٹ کے محققین نے پایا کہ فیس بک، انسٹاگرام اور وی چیٹ جیسی ایپس میں پیچ درحقیقت پلے اسٹور میں لاگو نہیں ہوتے تھے۔ یہ ان کمزوریوں کے لیے ایک ماہ تک متعدد مقبول اینڈرائیڈ ایپلی کیشنز کے تازہ ترین ورژنز کو اسکین کرکے دریافت کیا گیا جن سے ڈیولپرز واقف تھے۔ نتیجے کے طور پر، یہ قائم کرنا ممکن ہوا کہ کچھ ایپلی کیشنز کی باقاعدگی سے اپ ڈیٹس کے باوجود، کمزوریاں کھلی رہتی ہیں جو ایپلی کیشنز پر انتظامی کنٹرول حاصل کرنے کے لیے صوابدیدی کوڈ کو لاگو کرنے کی اجازت دیتی ہیں۔
تین RCE کمزوریوں کی موجودگی کے لیے مذکورہ ایپلی کیشنز کے تازہ ترین ورژنز کے کراس تجزیہ، جن میں سے سب سے پرانا 2014 کا ہے، نے Facebook، Instagram اور WeChat میں کمزور کوڈ کی موجودگی کو ظاہر کیا۔ یہ صورتحال اس حقیقت کی وجہ سے پیدا ہوتی ہے کہ موبائل ایپلیکیشنز دوبارہ استعمال کے قابل درجنوں اجزاء استعمال کرتی ہیں، جنہیں مقامی لائبریری کہا جاتا ہے اور یہ اوپن سورس پروجیکٹس کی بنیاد پر تخلیق کی جاتی ہیں۔ اس طرح کی لائبریریاں فریق ثالث کے ڈویلپرز کے ذریعہ بنائی جاتی ہیں جن کو اس وقت تک رسائی حاصل نہیں ہوتی جب خطرے کا پتہ چلتا ہے۔ اس کی وجہ سے، کوئی ایپلیکیشن برسوں تک کوڈ کا پرانا ورژن استعمال کر سکتی ہے، چاہے اس میں کمزوریاں دریافت ہوں۔
محققین کا خیال ہے کہ گوگل کو ان اپ ڈیٹس کی نگرانی پر زیادہ توجہ دینی چاہیے جو ڈویلپرز اپنی مصنوعات کے لیے جاری کرتے ہیں۔ تھرڈ پارٹی ڈویلپرز کے لکھے ہوئے اجزاء کو اپ ڈیٹ کرنے کے عمل کو بھی کنٹرول کیا جانا چاہیے۔
چیک پوائنٹ کے نمائندوں نے موبائل ایپلی کیشنز فیس بک، انسٹاگرام اور وی چیٹ کے ساتھ ساتھ گوگل کے ڈیولپرز کو پتہ چلنے والے مسائل کی اطلاع دی۔ صارفین کو اینٹی وائرس سافٹ ویئر استعمال کرنے کی سفارش کی جاتی ہے جو موبائل گیجٹ پر کمزور ایپلی کیشنز کی نگرانی کر سکتا ہے۔
ماخذ: 3dnews.ru