සයිබර් ආරක්ෂාව තේරෙන සිංහලෙන්

Tuesday, 28 July 2015

Critical Persistent Injection Vulnerability in Apple App Store and iTunes

දිගින් දිගටම වාර්ථා වන පරිගණක වර්නලබිලිටි වෙනුවට ඊයේ දිනයේදී ඇන්ඩ්‍රොයිස් ජංගම දුරකතන මෙහෙයුම් පද්ධතියේ ඇති වල්නරබිලිටියක් සොය ගැනුනා. ඒත් සමගම ලෝකයේ ඇති මිලියන 950ක් පමණ වූ අන්ඩ්‍රොයිඩ් ජංගම දුරකතන බලවත් අනතුරකට ලක්වුණා. අද මේ සටහන තබන්නේ තවත් වල්නරබිලිටියක සොයා ගැනීමක් සම්බන්ධවයි.

ඇපල් මෙහෙයුම් පද්ධතිය සහිත ජංගම දුරකථන සහ ලැප්ටොප් සියලටම භාවිතා වන Apple’s App Store සහ iTunes Store යන දෙකෙහි ඇති වල්නරබිලිටියක් සොයා ගැනුනා. ඒ අනුව ලෝකයේ මිලියන ගණනක් වන ඇපල් ෆෝන් සහ ලැප් බාවිතා කරන්නන් අනතුරක හෙළමින් සොයාගත් මෙම වල්නරබිලිටිය හෙවත් ඇපල් මෙහෙයුම් පද්ධතියේ පවතින දෝෂය උපයෝගී කරගෙන පහත ආකාරයේ හැක් කිරීම් සිදුකරන්න පුළුවන්.

  • Session hijacking
  • Persistent redirect to external sources
  • Persistent phishing attacks
  • Persistent manipulation of affected service module context
මෙහිදී ඇපල් උපාංගයේ name value (device cell name) වෙනස් කරමින් අදාළ උපාංග වෙත එක් එක් ආකාරයේ කේතයන් එක් කිරීමක් සිදුවෙනවා.

මේ වන විට Apple’s App Store පවතින බොහොමයක් මෘදුකාංග වල මෙම වල්නරබිලිටිය දැකගන්නට හැකි බව පැවසෙනවා. 

පරීක්ෂකයන් පවසන ආකාරයට මෙම වල්නරබිලිටියේ ක්‍රියාකාරීත්වය පහත ආකාරයෙන් දැකගන්න පුළුවන්.

  1. Inject the malicious script code to your device cell name
  2. Buy an article by using Apple iTunes or App Store
  3. Select any App or Movie that you would like to Buy and Download
  4. After the download is completed, an Invoice receives to your inbox
  5. An application-side injected script code execution occurs in the arrived emails context next to the device-cell and type cell value parameters
  6. Successful reproduce of the remote vulnerability
ඉතින් ඔබත් ඇපල් උපාංගයක් භාවිතා කරනවා නම් ඔබ ඉන්නේ අනතුරක. මෙයට තවම විසදුමක් නැති නිසා හැකි නම් Apple’s App Store හරහා කිසිදු ගණුදෙනුවක් භාගත කිරීමක් සිදුකරන්න එපා.


About the author
Eranda Dayawansa
Eranda Dayawansa is a Microsoft Certified ICT Instructor and Blogger from 2008 who loves all Things of Information Technology. He is also the chief editor at his blog – HelpITLanka which shares new exciting and informative discoveries found from surfing the net.
Share:

0 comments:

Social Media

About Author



Eranda Dayawansa
Founder and Editor-in-Chief of 'Cyber Security'. Microsoft Certified ICT Instructor, Cyber Security Analyst, Information Security Researcher

Blog Archive

About

Followers

Blog Archive