स्नैप स्टोर पर धोखाधड़ी करने वाले ऐप्स
समाचार हाल ही में जारी किया गया था कि एप्लिकेशन निर्देशिका में स्नैप स्टोर (उबंटू में प्रयुक्त और कैनोनिकल द्वारा अनुरक्षित), 10 एप्लिकेशन की पहचान की गई जिन्हें क्रिप्टोकरेंसी वॉलेट के लिए आधिकारिक क्लाइंट के रूप में डिज़ाइन किया गया था लोकप्रिय, लेकिन वास्तव में वे इन परियोजनाओं के डेवलपर्स से संबंधित नहीं थे और दुर्भावनापूर्ण कार्रवाइयां करते थे।
बताया गया है, चिंताजनक बात यह है कि ये ऐप्स को "सुरक्षित" लेबल दिया गया था कैटलॉग में, यह धारणा बनाते हुए कि वे सत्यापित थे और उपयोग के लिए सुरक्षित थे।
ये ऐप उपयोगकर्ता digisafe00000 द्वारा प्रकाशित किए गए थे और वास्तविक क्रिप्टोकरेंसी अनुप्रयोगों के समान नामों के साथ प्रस्तुत किए गए थे। हालांकि शुरुआत में स्नैप स्टोर कैटलॉग से हटा दिया गया, वे तुरंत फिर से प्रकट हो गए कोडगार्ड0x0000 नामक एक नए उपयोगकर्ता के तहत, "एक्सोडस-बिल्ड-71776" और "मेटामास्क-स्टेबल28798" जैसे थोड़े बदले हुए पैकेज नामों के साथ।
यह समस्या कोई नयी नहीं है फरवरी में भी देखी गई थी ऐसी ही गतिविधि जैसा इसके परिणामस्वरूप लगभग 9 बिटकॉइन की चोरी हुई (लगभग $500k) एक उपयोगकर्ता से जिसने नकली एक्सोडस क्लाइंट स्थापित किया था। क्योंकि इन दुर्भावनापूर्ण अनुप्रयोगों के लेखक स्नैप स्टोर के स्वचालित पैकेज सत्यापन प्रणाली से बचने का प्रबंधन करते हैं, कुछ विशेषज्ञ इस प्लेटफ़ॉर्म पर असत्यापित क्रिप्टोकरेंसी-संबंधित अनुप्रयोगों के प्रकाशन पर पूरी तरह से प्रतिबंध लगाने का सुझाव देते हैं, उदाहरण के तौर पर इसके अनुप्रयोगों के लिए 2022 में प्रतिबंध लागू किए जाएंगे। प्रकार। गौरतलब है कि ये प्रतिबंधित एप्लिकेशन सहयोगी विकास प्लेटफॉर्म सोर्सहट पर परियोजनाओं से जुड़े थे।
घटना के बारे में एसऔर उन्होंने स्नैपक्राफ्ट फोरम पर कुछ सूत्र खोले:
हमने ऐसे कई ऐप अपलोड देखे हैं जो उपयोगकर्ताओं को संवेदनशील जानकारी प्रकट करने के लिए बरगलाते हैं। ये सिस्टम की इंजीनियरिंग पर हमला नहीं करते, बल्कि सोशल इंजीनियरिंग के जरिए उपयोगकर्ता पर हमला करते हैं, इसलिए लॉकडाउन नियम समस्या का समाधान नहीं कर सकते।
टीम इस तरह के अनुप्रयोगों के जोखिम को कम करने और कम करने के लिए कई तरह की पहल पर काम कर रही है। हालाँकि, जो बात मुझे चिंतित करती है वह यह है कि ऐप्स को अपडेट किया जा सकता है, इसलिए भले ही किसी ऐप की प्रारंभिक रिलीज़ के समय पूरी तरह से समीक्षा की गई हो, वही ऐप बाद की तारीख में धोखाधड़ी का शिकार हो सकता है।
एक चीज़ जो हम कर सकते हैं वह है प्रत्येक प्रकाशक के लिए प्रकाशक की पहचान के अधिक संपूर्ण प्रमाण की आवश्यकता। हमें एक क्रेडिट कार्ड की आवश्यकता हो सकती है और हम उस तरह की "अपने ग्राहक को जानें" तकनीक को एकीकृत कर सकते हैं जिसका उपयोग ऐप-आधारित बैंक पासपोर्ट जैसी किसी प्रकार की पहचान को सत्यापित करने के लिए कर रहे हैं। इनमें आम तौर पर बोलने वाले व्यक्ति के वीडियो के साथ-साथ पासपोर्ट फोटो जैसी किसी चीज़ की आवश्यकता होती है। मुझे लगता है कि अधिकांश बैंक इस केवाईसी क्षमता के लिए एसएएएस सेवाओं का उपयोग करते हैं और हम स्नैपक्राफ्ट प्रकाशक पहचान सत्यापन के लिए समान सेवाओं का उपयोग कर सकते हैं।
एप्लिकेशन डमी हैं जो किसी बाहरी साइट से वेब पेज प्रदर्शित करते हैं एक वेबकिट जीटीके-आधारित रैपर का उपयोग करना जो एक सामान्य डेस्कटॉप एप्लिकेशन के संचालन का अनुकरण करता है (फरवरी की घटना में फ़्लटर में लिखे गए काल्पनिक एप्लिकेशन शामिल थे)। फ़ंक्शंस में से, केवल कुंजी आयात करने और वॉलेट को पुनर्स्थापित करने का संचालन काम करता है, और एक त्रुटि के साथ एक नया वॉलेट बनाने का प्रयास समाप्त होता है।
नकली पलायन बटुआ
जैसे, यह उल्लेख है कि जावास्क्रिप्ट काफी सरल है, क्योंकि इसमें अनुमत शब्दों का एक शब्दकोश है पुनर्प्राप्ति कुंजी में क्योंकि जैसे ही उपयोगकर्ता शब्द टाइप करता है, एप्लिकेशन सूची की जांच करता है और यदि दर्ज किए गए सभी शब्द शब्दकोश में हैं, तो यह /कलेक्ट एंडपॉइंट पर "POST" अनुरोध भेजने के लिए "जारी रखें" बटन के उपयोग की अनुमति देगा। सर्वर पर. यह समय-समय पर नेटवर्क कनेक्टिविटी, टेलीमेट्री की जांच करने या यह देखने के लिए कि कौन से धोखाधड़ी वाले वॉलेट ऐप उपयोग में हैं, एक साधारण पेलोड के साथ सर्वर को "पिंग" करता है।
यदि उपयोगकर्ता किसी मौजूदा वॉलेट से आयात ऑपरेशन करता है, तो उससे जुड़ा रिकवरी पासफ़्रेज़ हमलावरों के सर्वर पर भेजा जाता है और उपयोगकर्ता को वॉलेट रिकवरी विफलता के बारे में एक संदेश दिखाया जाता है। एक बार चाबियों तक पहुंच प्राप्त हो जाने के बाद, हमलावर पीड़ित के बटुए से सारी धनराशि निकाल लेते हैं।
अगर तुम हो इसके बारे में अधिक जानने में रुचि रखते हैं, आप विवरण की जांच कर सकते हैं निम्नलिखित लिंक में