सुरक्षा शोधकर्ताओं ने केवल दो छेदों की खोज की है जो सभी वर्तमान आईफोन, आईपैड और मैक मॉडल, साथ ही साथ अधिक पुराने उपकरणों पर मौजूद हैं। ये दो छेद, जिसका नाम SLAP और FLOP है, हमलावर को उपयोगकर्ता के डिवाइस पर वेब टैब की सामग्री को खोलने की अनुमति दे सकता है।
अंतर A15 और M2 चिप्स से उत्पन्न होता है और चिप्स की अगली पीढ़ियों पर दिखाई देता है, जिसमें आज Apple उपकरणों पर नवीनतम संस्करण भी शामिल है।
थप्पड़ और फ्लॉप क्या है?
जॉर्जिया इंस्टीट्यूट ऑफ टेक्नोलॉजी में एक शोध टीम द्वारा दो थप्पड़ छेद (लोड एड्रेस प्रेडिक्शन के माध्यम से अटकलें हमले) और फ्लॉप (झूठे लोड आउटपुट भविष्यवाणियों) की खोज की गई थी। दोनों स्पेक्टर और मेल्टडाउन छेद के समान तंत्र द्वारा संचालित होते हैं, जो पिछली चिंताओं का कारण बना है।
ये सभी छेद एक ऐसी तकनीक से आते हैं जो Apple और कई अन्य चिप निर्माता प्रसंस्करण गति को अनुकूलित करने के लिए उपयोग करते हैं, जिसे सट्टा निष्पादन कहा जाता है “। यह विधि चिप को यह अनुमान लगाने में मदद करती है कि कमांड को अगले और आवश्यक डेटा को निष्पादित किया जा सकता है।
यदि हमलावर इस प्रक्रिया में दुर्भावनापूर्ण डेटा डाल सकता है, तो वे उस मेमोरी सामग्री को पढ़ सकते हैं जिसे संरक्षित किया जाना चाहिए था।
अंतराल का खतरा स्तर
सफारी पर, प्रत्येक ब्राउज़र टैब को पूरी तरह से अलग (सैंडबॉक्सिंग) के लिए डिज़ाइन किया गया है, यह सुनिश्चित करते हुए कि एक खुली वेबसाइट किसी अन्य टैब से डेटा तक नहीं पहुंच सकती है।
हालाँकि, SLAP SAFARY पर अन्य टैब से डेटा तक पहुंचने के लिए विषाक्त वेबसाइटों का कारण बन सकता है। यह एक हमलावर को जन्म दे सकता है जो ईमेल पढ़ता है, Apple मानचित्रों पर स्थिति देखता है या यहां तक कि उपयोगकर्ता बैंक जानकारी का उपयोग करता है।
इस बीच, फ्लॉप और भी खतरनाक है क्योंकि यह न केवल सफारी को प्रभावित करता है, बल्कि क्रोम और अन्य ब्राउज़रों को भी प्रभावित करता है।
चिंताजनक बिंदु यह है कि हमलावर को इन छेदों का शोषण करने के लिए डिवाइस पर मैलवेयर स्थापित करने की आवश्यकता नहीं है। हमले Apple के स्रोत कोड में त्रुटि के माध्यम से पूरी तरह से हो सकते हैं, और उपयोगकर्ताओं के लिए यह पता लगाना मुश्किल है कि वे कब हो रहे हैं।
कौन से उपकरण प्रभावित हैं?
कोई भी Apple डिवाइस जो A15 या उच्चतर चिप या उच्चतर का उपयोग करता है, वह प्रभावित होने का खतरा है। शोधकर्ताओं ने उन उपकरणों की सूची की पुष्टि की है जिन पर आसानी से हमला किया जाता है, जिनमें शामिल हैं:
– iPhone: iPhone 13, iPhone 14, iPhone 15, iPhone 16, iPhone SE (तीसरी पीढ़ी)
– iPad: iPad Air (2021 के बाद से), iPad Pro (2021 के बाद से), iPad मिनी (2021 के बाद से)
– मैक: मैकबुक एयर (2022 के बाद से), मैकबुक प्रो (2022 के बाद से), मैक मिनी (2023 के बाद से), मैक स्टूडियो (2023 के बाद से), आईमैक (2023 से), मैक प्रो (2023)
Apple की वास्तविक जोखिम और प्रतिक्रिया
सुरक्षा शोधकर्ताओं ने पुष्टि की है कि इस बात का कोई सबूत नहीं है कि इन दोनों छेदों का वास्तविकता में शोषण किया गया है। Apple को मई 2024 से थप्पड़ के लिए इन त्रुटियों के बारे में और FLOP के लिए सितंबर 2024 से सूचित किया गया है और कंपनी ने चुपचाप दूर होने के लिए काम किया।
Bleeping कंप्यूटर को भेजे गए एक संक्षिप्त बयान में, Apple ने कहा: “हमारे विश्लेषण के आधार पर, हम यह नहीं मानते हैं कि यह समस्या उपयोगकर्ताओं के लिए तत्काल जोखिम का कारण बनती है।”
वर्तमान में, शोषण के जोखिम को कम करने के लिए विश्वसनीय वेबसाइटों तक पहुंच को प्रतिबंधित करने के अलावा उपयोगकर्ताओं के लिए कोई विशिष्ट निवारक उपाय नहीं है।
#SLAP #FLOP #APPLE #LUH, #DOMNAY
सुरक्षा शोधकर्ताओं ने केवल दो छेदों की खोज की है जो सभी वर्तमान आईफोन, आईपैड और मैक मॉडल, साथ ही साथ अधिक पुराने उपकरणों पर मौजूद हैं। इन दोनों छेदों का नाम दिया गया थप्पड़ और फ्लॉपहमलावर को उपयोगकर्ता के डिवाइस पर वेब टैब की सामग्री को खोलने की अनुमति दे सकते हैं।
अंतर A15 और M2 चिप्स से उत्पन्न होता है और चिप्स की अगली पीढ़ियों पर दिखाई देता है, जिसमें आज Apple उपकरणों पर नवीनतम संस्करण भी शामिल है।
थप्पड़ और फ्लॉप क्या है?
दो छेद थप्पड़ (लोड पता भविष्यवाणी के माध्यम से अटकलें हमले) और फ्लॉप (गलत लोड आउटपुट भविष्यवाणियां) अनुसंधान टीम द्वारा खोजा गया जॉर्जिया प्रौद्योगिकी संस्थान। दोनों छेद के समान तंत्र के अनुसार काम करते हैं काली छाया और मंदी पिछली चिंताओं का कारण बना।
ये सभी छेद एक ऐसी तकनीक से आते हैं जो Apple और कई अन्य चिप निर्माता प्रसंस्करण गति को अनुकूलित करने के लिए उपयोग करते हैं, जिसे कहा जाता है “सट्टा निष्पादन” (सट्टा। यह विधि चिप को यह अनुमान लगाने में मदद करती है कि कमांड को अगले और आवश्यक डेटा को निष्पादित किया जा सकता है।
यदि हमलावर इस प्रक्रिया में दुर्भावनापूर्ण डेटा डाल सकता है, तो वे उस मेमोरी सामग्री को पढ़ सकते हैं जिसे संरक्षित किया जाना चाहिए था।
अंतराल का खतरा स्तर
ऊपर सफारीप्रत्येक ब्राउज़र टैब को पूरी तरह से अलग (सैंडबॉक्सिंग) के लिए डिज़ाइन किया गया है, यह सुनिश्चित करते हुए कि एक खुली वेबसाइट किसी अन्य टैब से डेटा तक नहीं पहुंच सकती है।
तथापि, थप्पड़ सफारी पर अन्य टैब से विषाक्त वेबसाइट एक्सेस डेटा बना सकते हैं। यह एक हमलावर को जन्म दे सकता है जो ईमेल पढ़ता है, Apple मानचित्रों पर स्थिति देखता है या यहां तक कि उपयोगकर्ता बैंक जानकारी का उपयोग करता है।
इस दौरान, फ्लॉप यह और भी खतरनाक है क्योंकि यह न केवल सफारी को प्रभावित करता है, बल्कि क्रोम और अन्य ब्राउज़र।
चिंताजनक बिंदु यह है कि हमलावर को इन छेदों का शोषण करने के लिए डिवाइस पर मैलवेयर स्थापित करने की आवश्यकता नहीं है। हमले Apple के स्रोत कोड में त्रुटि के माध्यम से पूरी तरह से हो सकते हैं, और उपयोगकर्ताओं के लिए यह पता लगाना मुश्किल है कि वे कब हो रहे हैं।
कौन से उपकरण प्रभावित हैं?
कोई भी Apple डिवाइस एक चिप का उपयोग करता है A15 और ऊपर या एम 2 या अधिक प्रभावित होने का खतरा है। शोधकर्ताओं ने उन उपकरणों की सूची की पुष्टि की है जिन पर आसानी से हमला किया जाता है
- iPhone:
- iPhone 13
- iPhone 14
- iPhone 15
- iPhone 16
- iPhone SE (तीसरी पीढ़ी)
- iPad:
- iPad Air (2021 के बाद से)
- iPad Pro (2021 के बाद से)
- iPad मिनी (2021 से बाद में)
- मैक:
- मैकबुक एयर (2022 के बाद से)
- मैकबुक प्रो (2022 के बाद से)
- मैक मिनी (2023 के बाद से)
- मैक स्टूडियो (2023 के बाद से)
- iMac (2023 के बाद से)
- मैक प्रो (2023)
Apple की वास्तविक जोखिम और प्रतिक्रिया
सुरक्षा शोधकर्ताओं ने पुष्टि की है कि इस बात का कोई सबूत नहीं है कि इन दोनों छेदों का वास्तविकता में शोषण किया गया है।
Apple को मई 2024 से थप्पड़ के लिए इन त्रुटियों के बारे में और FLOP के लिए सितंबर 2024 से सूचित किया गया है और कंपनी ने चुपचाप दूर होने के लिए काम किया।
एक संक्षिप्त बयान में भेजा गया ब्लेपिंग कंप्यूटरApple ने कहा: “हमारे विश्लेषण के आधार पर, हम यह नहीं मानते हैं कि यह समस्या उपयोगकर्ताओं के लिए तत्काल जोखिम का कारण बनती है।”
वर्तमान में, शोषण के जोखिम को कम करने के लिए विश्वसनीय वेबसाइटों तक पहुंच को प्रतिबंधित करने के अलावा उपयोगकर्ताओं के लिए कोई विशिष्ट निवारक उपाय नहीं है।
Discover more from 24 Gadget - Review Mobile Products
Subscribe to get the latest posts to your email.
