9 بینکنگ ایپلی کیشنز میں سیکورٹی فلو نے 10 ملین صارفین کو معلومات حاصل کی ہے

سب سے زیادہ، اگر نہیں، سیکیورٹی حساس اطلاقات ان کے سرورز اور آپ کے فون کے درمیان محفوظ طور پر خفیہ کردہ لنک تخلیق کرنے کے لئے TLS کنکشن کے طور پر معلوم کیا جاتا ہے. یہ اس بات کو یقینی بناتا ہے کہ جب آپ ہو، اپنے فون پر اپنا بینکنگ کر رہے ہو، تو آپ اصل میں آپ کے بینک سے بات چیت کر رہے ہیں اور کچھ بے ترتیب، ممکنہ طور پر خطرناک سرور نہیں ہیں.

صرف ایک چھوٹی سی مسئلہ ہے: اردن میں سالانہ کمپیوٹر کمپیوٹر سیکورٹی ایپلی کیشن کانفرنس میں بدھ کو پیش کردہ ایک کاغذ کے مطابق، برمنگھم یونیورسٹی کے محققین نے محسوس کیا ہے کہ ان کے ٹی ٹی ایس کنکشن قائم کرنے کے بعد نو مقبول بینکنگ اطلاقات مناسب احتیاطی تدابیر نہیں لے رہے ہیں. ان اطلاقات میں 10 ملین افراد کا مشترکہ صارف کا بیس ہے، جن کے تمام بینکنگ لاگ ان کے اعتبار سے اس معاہدے سے استحصال ہوسکتا ہے تو اس سے سمجھا جا سکتا ہے.

برمنگھم یونیورسٹی کے کمپیوٹر سیکورٹی پی ایچ ڈی کے طالب علم کرس میکہون سٹون نے کہا کہ "یہ سنجیدگی سے ہے، صارفین کو یقین ہے کہ یہ بینکوں کو ان کے آپریشن کی حفاظت کر سکتی ہے." اندرونی. "اب یہ غلطی طے کی گئی ہے، ہم نے اس میں ملوث تمام بینکوں کو ظاہر کیا ہے. لیکن اگر ایک حملہ آور اس خطرے کے بارے میں جانتا تھا اور کہتا ہے کہ صارف ایک پرانے ایپ چل رہا ہے تو پھر اس کا استحصال کرنا بہت اچھا ہوگا. واحد ضرورت یہ ہے کہ حملہ آور کو اسی نیٹ ورک پر ان کے شکار کے طور پر ہونے کی ضرورت ہوگی، اسی طرح عوامی وائی فائی نیٹ ورک کی طرح.

اخبار کے متاثرہ ایپس کی فہرست یہاں ہے.

TLS کنکشن کو یہ یقینی بنانا ہے کہ جب آپ اپنے بینک لاگ ان کی معلومات میں ٹائپ کریں، تو آپ اسے صرف اپنے بینک میں اور کسی اور کو نہیں بھیجتے ہیں. یہ سیکورٹی احتیاط دو قدم قدم ہے.

یہ بینکوں یا دیگر اداروں کے ساتھ شروع ہوتا ہے جو ایک خفیہ طور پر دستخط کئے جانے والے سرٹیفکیٹ پر بھیجنے کی تصدیق کرتی ہے، اس بات کی توثیق کرتی ہے کہ وہ واقعی میں ہیں جو دعوی کرتے ہیں. یہ دستخط سرٹیفکیٹ حکام کے ذریعہ دیئے گئے ہیں، جو اس عمل میں تیسری جماعتوں پر اعتماد رکھتی ہیں.

ایک بار اس سرٹیفکیٹ کو بھیج دیا جاتا ہے - اور اے پی پی اس بات کو یقینی بناتا ہے کہ یہ جائز ہے - سرور کا میزبان نام کی تصدیق کی جائے گی. یہ صرف اس سرور کا نام چیک کر رہا ہے جس سے آپ اس بات کا یقین کرنے کے لئے مربوط کرنے کی کوشش کر رہے ہیں کہ آپ کسی اور کے ساتھ کنکشن قائم نہیں کررہے ہیں.

یہ دوسرا قدم ہے جہاں ان بینکوں نے گیند کو گرا دیا.

"ان میں سے بعض اطلاقات جنہیں ہم نے دریافت کیا تھا اس کا سرٹیفکیٹ درست طریقے سے دستخط کیا گیا تھا، لیکن وہ میزبان نام مناسب طریقے سے جانچ نہیں کر رہے تھے،" پتھر کہتے ہیں. "تو وہ کسی بھی سرور کے کسی بھی درست سرٹیفکیٹ کی توقع کریں گے."

اس کا مطلب ہے کہ ایک حملہ آور نے ایک سرٹیفکیٹ پھینک سکتا ہے اور ایک شخص میں اندرونی حملے پہاڑ سکتا ہے. جہاں حملہ آور بینک اور صارف کے درمیان کنکشن کو ہٹاتا ہے. اس سے انہیں تک رسائی ملے گی سب اس کنکشن کے دوران بھیجی گئی معلومات.

اگرچہ اس غلطی کو مستحکم کر دیا گیا ہے، اگر آپ اوپر درج کردہ کسی بھی اپلی کیشنز کا استعمال کرتے ہیں ضروری ہے اس بات کو یقینی بنانا کہ آپ کو اے پی پی کو ٹھیک کرنے کے لئے اپ ڈیٹ کیا گیا ہے. پتھر کو لوگوں کو ان کے موبائل بینکنگ کو گھر میں، ایک ان کے نیٹ ورک پر بھی زور دینے پر زور دیتا ہے کہ وہ انسان کے اندر اندر ہونے والی کسی بھی ممکنہ امکانات سے بچنے کے لۓ.

ویب، دوستوں پر محفوظ رہو.