मैलवेयर वाला एक ऐप LassPass हाल ही में ऐप स्टोर में घुस गया है जिससे डेटा लीक का बड़ा खतरा पैदा हो गया है।
इसलिए यदि आपने इसे डाउनलोड कर लिया है, या सोचते हैं कि आप पहचान की चोरी का शिकार हो गए हैं जो लास्टपास के साथ की गई थी, तो हम आपको सलाह देते हैं कि आप इस लेख को पढ़ना जारी रखें जहां हम बताएंगे कि यह कैसे हुआ और यदि आप इसमें फंस गए हैं तो आप क्या कर सकते हैं घोटाला। धोखा।
साइबर अपराधी ऐप स्टोर फ़िल्टर को बायपास कर देते हैं
LassPass का मामला नियम का अपवाद नहीं है: और हालांकि यह एंड्रॉइड पर भी हुआ है, यह पहली बार नहीं है कि मैलवेयर वाला कोई ऐप ऐप स्टोर में घुस गया है: पहला 2012 का ऐप था जिसे फाइंड एंड कॉल कहा जाता था। कॉल मैनेजर की सहज उपस्थिति एक ऐप को छिपा रही थी जो स्पैम भेजने के लिए आपके संपर्कों से डेटा उसके डेवलपर को भेजता था।
LassPass इनमें से एक और एप्लिकेशन है जिसके अंदर कुछ और छिपा है, लेकिन वह चूंकि यह एक पासवर्ड मैनेजर है इसलिए इसमें एक विशेष गुरुत्व है...जहां लोग आमतौर पर ईमेल से लेकर बैंकों तक सब कुछ संग्रहीत करते हैं, जो सीधे तौर पर हमारी आर्थिक अखंडता और व्यक्तिगत डेटा को खतरे में डालता है।
ऐप स्टोर में मैलवेयर को घुसने के लिए, चार अलग-अलग तरीके हैं जिनका उपयोग डेवलपर्स द्वारा किया जा सकता था, हालांकि ऐप्पल यह नहीं बताना चाहता था कि इस बार यह कैसे हुआ:
सोशल इंजीनियरिंग: मैलवेयर को छिपाने के लिए "पुराना विश्वसनीय"।
दुर्भावनापूर्ण डेवलपर्स कर सकते हैं उपयोगकर्ताओं या ऐप स्टोर समीक्षकों को धोखा देने के लिए सोशल इंजीनियरिंग तकनीकों का उपयोग करेंऔर। और इस कुछ हद तक आडंबरपूर्ण नाम के तहत कुछ ऐसा छिपा है जिसे हम सभी अपने दैनिक जीवन में जानते हैं: "कुछ प्राप्त करने के लिए धोखा देना।"
विशेष रूप से, इस मामले में लागू सोशल इंजीनियरिंग में प्रारंभिक समीक्षा के दौरान ऐप के दुर्भावनापूर्ण व्यवहार को छिपाना, या यहां तक कि समीक्षकों को यह समझाने के लिए मनोवैज्ञानिक हेरफेर रणनीति का उपयोग करना शामिल हो सकता है कि यह एक सुरक्षित ऐप है और उपयोगकर्ताओं को ऐप इंस्टॉल करने के लिए राजी करना है।
कोड अस्पष्टता और पता लगाने से बचने की तकनीकें: मैलवेयर को अच्छी तरह छिपाकर रखना
डेवलपर्स कर सकते हैं विश्लेषण और पता लगाना कठिन बनाने के लिए एप्लिकेशन कोड को अस्पष्ट करें ऐप स्टोर सुरक्षा प्रणालियों द्वारा। इससे समीक्षाकर्ताओं के लिए समीक्षा प्रक्रिया के दौरान दुर्भावनापूर्ण व्यवहार की पहचान करना अधिक कठिन हो सकता है।
और यहां मानव आपराधिक आविष्कार की कोई सीमा नहीं है: किसी ऐप के कोड के साथ छेड़छाड़ करना ताकि उसका सिंटैक्स असामान्य हो ("पीडब्ल्यूडी" को "पासवर्ड" यानी पासवर्ड कहना शर्म की बात है), ऐसे निर्देश डालें जो समीक्षकों को गुमराह न करें और किसी अन्य चीज़ पर ध्यान केंद्रित न करें जो वहां मौजूद हो, ऐप कोड को खंडित करें (वहां कुछ छिपाने के लिए इसे परस्पर संबंधित टुकड़ों में तोड़ें) या यहां तक कि अतिरिक्त जटिलताएं भी पेश करते हैं जो समीक्षक को चक्कर में डाल देती हैं।
कमजोरियों का शोषण: कम और कम, लेकिन प्रशंसनीय
यदि ऐप स्टोर समीक्षा प्रक्रिया या अंतर्निहित ऑपरेटिंग सिस्टम, दुर्भावनापूर्ण डेवलपर्स में कोई भेद्यता है वे इस भेद्यता का फायदा उठा सकते हैं ताकि उनके आवेदन पर किसी का ध्यान न जाए या ऐप के उपयोगकर्ताओं के डिवाइस पर होने पर दुर्भावनापूर्ण कोड इंस्टॉल करना। इस कारण से, आपको हमेशा नवीनतम इंस्टॉल करना चाहिए सॉफ्टवेयर अद्यतन उपलब्ध.
अनुमोदन के बाद के अपडेट: बाद में मैलवेयर में छुपें
ऐसा तब होता है जब कोई डेवलपर बिना किसी दुर्भावनापूर्ण कोड के एक साफ-सुथरा ऐप प्रकाशित करता है, लेकिन बाद के संशोधनों में कुछ मैलवेयर जोड़ देता है।
जब डेवलपर्स प्रारंभिक समीक्षा पास करने के बाद ऐप के व्यवहार को संशोधित करते हैं, तो इससे समस्याग्रस्त स्थितियां पैदा हो सकती हैं, क्योंकि ऐप स्टोर समीक्षक ऐप में किए गए परिवर्तनों की आगे समीक्षा नहीं करने का विकल्प चुन सकते हैं।
LassPass ऐप स्टोर में कैसे प्रवेश कर सकता है?
यदि हम थोड़ा सा सिद्धांत दें, और यह देखते हुए कि सुरक्षा विफलता कैसे हुई है, अगर हमें हमारे द्वारा वर्णित किसी भी तरीके पर दांव लगाना पड़े, तो मैं निश्चित रूप से यह कहने का जोखिम उठाऊंगा कि यह एक हो सकता था दो का संयोजन: सोशल इंजीनियरिंग और कोड अस्पष्टता.
LassPass की किसी अन्य वैध पासवर्ड मैनेजर से समानता को देखते हुए, साइबर अपराधी ऐप को इसके संभावित व्युत्पन्न के रूप में छिपाने की कोशिश करने में सक्षम हो गए हैं, इस प्रकार ऐप स्टोर के मानव और आभासी समीक्षकों को धोखा दे रहे हैं, एक परिष्कृत कोड के संयोजन के साथ जो छिपा हुआ है ट्रोजन हॉर्स जो अंदर था.
LassPass को LastPass के साथ भ्रमित कर दिया गया है
लास्टपास वह ऐप है जिसे पहचान की चोरी का सामना करना पड़ा है
LastPassइस स्पूफिंग का शिकार एक लोकप्रिय ऑनलाइन पासवर्ड मैनेजर है उपयोगकर्ताओं को पासवर्ड और अन्य संवेदनशील जानकारी सुरक्षित रूप से संग्रहीत करने की अनुमति देता है, जैसे क्रेडिट कार्ड नंबर, सुरक्षित नोट्स और लॉगिन डेटा, सभी एक ही मास्टर पासवर्ड के साथ एन्क्रिप्टेड वॉल्ट के भीतर।
और मुझे लगता है कि आपको यह जानने के लिए बहुत स्मार्ट होने की ज़रूरत नहीं है कि उन्होंने प्रतिरूपण करने के लिए इसे क्यों चुना और किसी अन्य एप्लिकेशन को नहीं: इसके उपयोगकर्ताओं की उच्च संख्या और इसकी प्रकृति, जो हैविभिन्न वेबसाइटों और सेवाओं के उपयोगकर्ता खातों का एक बड़ा हिस्सा छुपाता है, यह इसे किसी भी दुर्भावनापूर्ण उपयोगकर्ता के लिए एक रत्न बनाता है जो संवेदनशील डेटा पर कब्ज़ा करना चाहता है।
सौभाग्य से, लास्टपास ने प्रतिरूपण का पता लगाया और ऐप्पल को इसकी सूचना दी, जिसके कारण लासपास को कुछ घंटों बाद वापस ले लिया गया और हालांकि कुछ लोगों ने इसे पहले ही डाउनलोड कर लिया था और नुकसान पहले ही हो चुका था, इस कार्रवाई के लिए धन्यवाद, अधिक अनसुने उपयोगकर्ताओं को इसमें पड़ने से रोकना संभव था जाल. धोखा
यदि आपके पास LassPass स्थापित है तो क्या होगा?
सबसे पहली बात यह स्पष्ट करना है: केवल LassPass स्थापित होने से कुछ भी बुरा नहीं होता है, क्योंकि इसमें मैलवेयर नहीं है जो फ़ोन को संक्रमित करता है। वह समस्या तब है जब आपने इसे खोला है और इसका उपयोग किया है, इसमें अपना डेटा रिकॉर्ड किया है, चूंकि प्रोग्राम स्वचालित रूप से उस डेटा को हमलावर के स्वामित्व वाले सर्वर पर भेजता है, इसलिए आप उसे अपने सभी खातों तक सीधी पहुंच प्रदान करेंगे।
किसी भी स्थिति में, यदि आपके पास LassPass स्थापित है, तो हम आपको इसे हटाने की सलाह देते हैं, लेकिन जितनी जल्दी हो सके उन्हें बदलने के लिए ऐप में आपके द्वारा दर्ज किए गए पासवर्ड की समीक्षा करने से पहले नहीं, इससे पहले कि वे किसी हमलावर के हाथों में पहुंचें।
यदि आपने अपना बैंक खाता विवरण दर्ज किया है, इसे अपनी इकाई को संप्रेषित करने में कोई हर्ज नहीं है। ताकि वे खाते का ऑडिट कर सकें और किसी भी संदिग्ध या असामान्य गतिविधि का पता चलने पर इसे अस्थायी रूप से ब्लॉक कर सकें।