அண்ட்ராய்டு ஹேக்கர் மற்றும் தொழில்முறை பாதுகாப்பு ஆலோசகர் டான் ரோசன்பெர்க் (நீங்கள் அவரை இன்டர்நெட்களில் இருந்து டி.ஜே.ஆர்.பிளிஸ் என்று அறிந்திருக்கலாம்) கேரியர் ஐ.க்யூ குறித்த தனது சொந்த ஆய்வை முடித்துவிட்டார், மேலும் சில சுவாரஸ்யமான முடிவுகளையும் கண்டறிந்தார். கீஸ்ட்ரோக்குகளை உள்நுழைவது மற்றும் எஸ்எம்எஸ் செய்திகளை உளவு பார்ப்பது பற்றிய அந்த அறிக்கைகள் அனைத்தும் தவறான தரப்பினர் மீது குற்றம் சாட்டப்பட்டதாகத் தெரிகிறது, ஏனெனில் கேரியர் ஐ.க்யூ எழுதப்பட்டபடி கேரியர் அனுப்பும் தரவை மட்டுமே (அளவீடுகள் என்று அழைக்கப்படுகிறது) கைப்பற்ற முடியும் என்று அவரது ஆராய்ச்சி காட்டுகிறது. ஒரு கேரியர் அவற்றின் நிறுவலுக்காக குறிப்பாக CIQ எழுதுவதைக் கொண்ட ஒரு சுயவிவரத்தை (எந்தவொரு பயன்பாட்டிற்கும் ஒரு அமைப்புகள் பக்கமாக நினைத்துப் பாருங்கள்) இன்னும் ஆலோசிக்க வேண்டும். அவரது சொந்த வார்த்தைகளில்:
அன்புள்ள இணையம், கேரியர்ஐக் நிறைய மோசமான செயல்களைச் செய்கிறது. இது பயனர் தனியுரிமைக்கு சாத்தியமான ஆபத்து, பயனர்களுக்கு அதைத் தவிர்ப்பதற்கான திறன் வழங்கப்பட வேண்டும்.
விசை அழுத்தங்கள் மற்றும் எச்.டி.டி.பி.எஸ் URL கள் போன்ற நிகழ்வுகளை பிழைத்திருத்த இடையகத்திற்கு பதிவுசெய்வதற்கும் (இது மிகவும் மோசமானது), உண்மையில் இந்தத் தரவை கேரியர்களுக்கு சேகரித்தல், சேமித்தல் மற்றும் கடத்துதல் (இது நடக்காது) ஆகியவற்றுக்கு இடையே ஒரு பெரிய வித்தியாசம் இருப்பதை மக்கள் அங்கீகரிக்க வேண்டும்.. தலைகீழ் பொறியியல் கேரியர் ஐக்யூவுக்குப் பிறகு, அவர்கள் பகிரங்கமாகக் கூறியதை விட வேறு எதையும் அவர்கள் சேகரிக்கிறார்கள் என்பதற்கான எந்த ஆதாரத்தையும் நான் காணவில்லை: அநாமதேய அளவீட்டு தரவு. "பார், நான் ஒரு விசையை அழுத்தும்போது அது ஏதாவது செய்கிறது" மற்றும் "இது எனது அனைத்து விசைகளையும் கேரியருக்கு அனுப்புகிறது!" என்பதற்கும் பெரிய வித்தியாசம் உள்ளது. நான் பார்த்ததை அடிப்படையாகக் கொண்டு, கேரியர் ஐக்யூவில் தரவு சேகரிப்பு நோக்கங்களுக்காக விசை அழுத்தங்களை பதிவு செய்யும் எந்த குறியீடும் இல்லை. நிச்சயமாக, இந்த நிகழ்வுகளில் கொக்கிகள் உள்ளன என்பது எதிர்கால பதிப்புகள் இந்த வகை செயல்பாட்டை துஷ்பிரயோகம் செய்யக்கூடும் என்று அறிவுறுத்துகிறது, மேலும் CIQ பொறுப்புக்கூறப்பட வேண்டும் மற்றும் நெருக்கமான ஆய்வுக்கு உட்படுத்தப்பட வேண்டும், இதனால் இந்த வகை தனியுரிமை படையெடுப்பு ஏற்படாது. ஆனால் இது குறித்த சமீபத்திய சத்தம் அனைத்தும் பெரும்பாலும் ஆதாரமற்றவை.
CIQ பற்றி வருத்தப்படுவதற்கு ஏராளமான காரணங்கள் உள்ளன, ஆனால் தயவுசெய்து முழுமையற்ற ஆதாரங்களின் அடிப்படையில் முடிவுகளுக்கு செல்ல வேண்டாம்.
அன்புடன்,
டான் ரோசன்பெர்க்
ஆகவே, ட்ரெவர் எக்கார்ட்டின் EVO இன் வீடியோவில் நாம் காணும் எல்லா விஷயங்களையும் பற்றி என்ன? இது வெளிப்படையாக இருக்கிறது, அதனால் என்ன இருக்கிறது? நாங்கள் பாதுகாப்பு ஆய்வாளர்கள், தொழில்முறை அல்லது வேறு நபர்கள் அல்ல, ஆனால் நாங்கள் ஒவ்வொரு நாளும் சுரண்டல்கள் மற்றும் பாதுகாப்பைப் பற்றி படிக்கும் மேதாவிகள். கேரியர் ஐ.க்யூ பயன்பாட்டிற்கு அநாமதேய மெட்ரிக் தரவாக அனுப்பும் போது அந்த நிகழ்வுகளை எச்.டி.சி பதிவில் அம்பலப்படுத்தியுள்ளது என்பதை நாம் கண்டுபிடிக்கக்கூடிய சிறந்தது. அந்த தரவு எதுவும் எங்கும் அனுப்பப்படவில்லை என்பதற்கு இன்னும் எந்த ஆதாரமும் இல்லை, ஒருபோதும் இருந்ததில்லை.
இந்த செய்தியிலிருந்து விலகிச் செல்ல வேண்டிய மிகப் பெரிய விஷயம் என்னவென்றால், கேரியர் ஐ.க்யூ பயமுறுத்துகிறது, நம்மில் பலர் அவர்களை தீயவர்களாகக் கருதுகையில், அவை கேரியர்கள் மற்றும் ஓ.இ.எம். இது மிகவும் வெளிப்படையானதாக இருக்க வேண்டும், ஏனென்றால் அது ஒருபோதும் விலகிச் செல்லப் போவதில்லை - உங்களுக்கு பிடிக்கவில்லை என்றால் எங்கள் நெட்வொர்க்கைப் பயன்படுத்த வேண்டாம், யாரும் உங்கள் தலையில் துப்பாக்கியைப் பிடிக்கவில்லை, இந்த விஷயத்தில் கேரியர்களின் நிலைப்பாடு, மற்றும் அவர்கள் சொல்வது சரிதான். இந்த விஷயத்தில் நம்முடைய விருப்பம் என்னவென்றால், அவர்களுடன் நம் பணத்தை செலவழிக்கக்கூடாது, அந்த யோசனை எவ்வளவு பிரபலமற்றது என்பதை நான் புரிந்துகொள்கிறேன் என்று சொர்க்கத்திற்கு தெரியும். ஆனால் கேரியர்கள் மற்றும் உற்பத்தியாளர்கள் இங்கு ஒரு நல்ல பழியைப் பகிர்ந்து கொள்ள வேண்டியது போல விஷயங்கள் மேலும் மேலும் பார்க்கின்றன, மேலும் இந்த முழு குழப்பமும் அவர்கள் ஏற்கனவே சேகரித்த தரவை சேகரிப்பதற்கான ஒரு சுலபமான வழியாகும்.
நாங்கள் இங்கே முடிந்ததும், "எங்கள் தொலைபேசிகளில் நாங்கள் கேரியர் ஐ.க்யூவைப் பயன்படுத்த மாட்டோம்" என்று கூச்சலிட்டு முன்னோக்கி விரைந்த நிறுவனங்கள் கேரியர் ஐ.க்யூ தவிர வேறு எதையாவது ஒரே தரவை எவ்வாறு சேகரிக்கின்றன என்பதைப் பார்க்க ஆரம்பிக்கலாம், எனவே மாற்றங்கள் என்பதை நாம் உறுதியாக நம்பலாம் சிலிக்கான் பள்ளத்தாக்கில் ஒரு சிறிய நிறுவனத்தை சிலுவையில் அறையுவதற்கு எதிராக பலகை முழுவதும் செய்யப்பட்டது.
ஆதாரம்: வல்ஃபாக்டரி; Pastebin
