မိုဘိုင်းပိုက်ဆံအိတ် သုည-ရက်များသည် SDK များကို မီးလောင်စေသည် – နှင့် သီးခြားခွဲထားရန် ကိစ္စအား မီးမောင်းထိုးပြပါ။

Mobile zero-days နှင့် SDK ချို့ယွင်းချက်များသည် ပိုက်ဆံအိတ်ယုံကြည်မှုကို ပျက်ပြားသွားစေပြီး ပေါက်ကွဲမှုအချင်းဝက်ကို ကျုံ့သွားစေရန် လေးနက်သောအသုံးပြုသူများကို သီးခြားခွဲထားသော၊ စက်အစုံဖြင့် လက်မှတ်ထိုးခြင်းဆီသို့ တွန်းပို့နေသည်။

မိုဘိုင်းလ်အားနည်းချက်များ၏ နောက်ဆုံးလှိုင်းသည် ပြင်ပကုမ္ပဏီဆော့ဖ်ဝဲလ်ဖွံ့ဖြိုးတိုးတက်ရေးကိရိယာများ (SDKs) နှင့် ဖုန်းလည်ပတ်မှုစနစ်များတွင် လက်လီအသုံးပြုသူများအပေါ် မည်မျှယုံကြည်မှု မည်မျှရှိသည်ကို ဖော်ထုတ်ပြသနေသည် – အဘယ်ကြောင့်ဆိုသော် အချို့သောလုံခြုံရေးအဖွဲ့များသည် အပြည့်အဝ သီးခြားလက်မှတ်ရေးထိုးခြင်းပတ်ဝန်းကျင်ဆီသို့ အဘယ်ကြောင့် အရှိန်မြှင့်လုပ်ဆောင်နေကြသနည်း။

ယခုလအစောပိုင်းက Microsoft အသေးစိတ် ငွေကြေးနှင့် crypto ပိုက်ဆံအိတ်အက်ပလီကေးရှင်းများစွာတွင် ထည့်သွင်းထားသော တွင်ကျယ်စွာအသုံးပြုထားသော Android push-notification စာကြည့်တိုက်တစ်ခုဖြစ်သည့် EngageLab ၏ EngageSDK တွင် ပြင်းထန်သောရည်ရွယ်ချက်-ပြန်ညွှန်းခြင်း ချို့ယွင်းချက်။ ချွတ်ယွင်းချက်သည် စက်ပစ္စည်းတစ်ခုတည်းရှိ အန္တရာယ်ရှိသောအက်ပ်များကို Android ရည်ရွယ်ချက်များကို ခိုးယူကာ OS သဲဘောက်စ်ကို ကျော်ဖြတ်ရန်၊ ထိခိုက်လွယ်သောဒေတာ၊ အထောက်အထားများနှင့် ငွေပေးငွေယူအချက်အလက်များကို ထိခိုက်စေနိုင်သော ပိုက်ဆံအိတ်များအတွင်း သိမ်းဆည်းထားသည့် ဒေတာများကို ဝင်ရောက်ကြည့်ရှုနိုင်စေပါသည်။ ပိုမိုကျယ်ပြန့်သော SDK ထိတွေ့မှုသည် အမျိုးအစားများအလိုက် အက်ပ်ထည့်သွင်းမှု သန်း ၅၀ ကျော်ဖြင့် အားနည်းချက်ရှိသော ပိုက်ဆံအိတ်အပလီကေးရှင်းတစ်ခုတည်းတွင် ထည့်သွင်းမှု သန်း 30 ကျော်ရှိသည်ဟု Microsoft က ခန့်မှန်းထားသည်။

တဆက်တည်း၊ Google ၏ Threat Intelligence Group မကြာသေးမီက ထုတ်ဖော်ခဲ့သည့်Binance သည် စက်ပစ္စည်းများကို အပြည့်အဝထိန်းချုပ်နိုင်စေရန်၊ ပိုက်ဆံအိတ်ဒေတာကို ဖယ်ထုတ်ရန်နှင့် ၎င်း၏လမ်းကြောင်းများကိုဖုံးကွယ်ရန် မှတ်တမ်းများကို ဖျက်ပစ်ရန် ဆန်းပြားသော iOS အသုံးချကွင်းဆက်တစ်ခုဖြစ်သည့် “Darksword” အကြောင်း မကြာသေးမီကမှ ထုတ်ဖော်ပြောကြားခဲ့သည်။ တွေ့ရှိချက်များအရ Binance သည် ကမ်ပိန်းသည် ဒေသအများအပြားရှိ တန်ဖိုးမြင့်အသုံးပြုသူများကို ပစ်မှတ်ထားပြီး လုံခြုံရေးသုတေသီများက ကမ်ပိန်းကို ပစ်မှတ်ထားကြောင်း မတ်လတွင် သတိပေးချက်ထုတ်ပြန်ရန် လှုံ့ဆော်မှုအား Binance က သတိပေးခဲ့သည်။

ဤဖြစ်ရပ်များသည် ဖွဲ့စည်းတည်ဆောက်ပုံဆိုင်ရာ ပြဿနာကို ထင်ရှားစေသည်- ကောင်းစွာစစ်ဆေးထားသော ပိုက်ဆံအိတ်အပလီကေးရှင်းများပင်လျှင် နောက်ခံမိုဘိုင်းစတက်များ၊ ပြင်ပကုမ္ပဏီ SDK သို့မဟုတ် အက်ပ်ဆော့ဖ်ဝဲရေးသားသူ၏ ထိန်းချုပ်မှုပြင်ပတွင် လုံးလုံးလျားလျား ချို့ယွင်းချက်များကြောင့် ပျက်စီးသွားနိုင်သည်။ အဓိပ္ပါယ်ရှိသော ချိန်ခွင်လျှာများကို ကိုင်ဆောင်ထားသည့် သုံးစွဲသူများအတွက်၊ “ secure app” ဟူသော အာမခံချက်များသည် ရန်လိုသောစက်ပတ်ဝန်းကျင်၏ အဖြစ်မှန်နှင့် တိုးများလာနေသည်။ အဖြစ်အပျက်နှစ်ခုလုံးကို ဖာထေးပြီးကတည်းက EngageSDK ပြင်ဆင်မှုကို နို၀င်ဘာ 2025 တွင် တင်ပို့ခဲ့ပြီး Apple သည် သက်ဆိုင်ရာ DarkSword အားနည်းချက်များကို ပိတ်ရန် အပ်ဒိတ်များကို ထုတ်ပြန်ခဲ့သော်လည်း အရင်းခံပြဿနာမှာ တည်ဆောက်ပုံအရဖြစ်ပြီး CVE ပြင်ဆင်မှုများသည် တစ်ဦးချင်းဖြေရှင်းမည်မဟုတ်ပါ။

တုံ့ပြန်မှုတစ်ခုမှာ အရေးကြီးသောသော့ပစ္စည်းများကို ယေဘုယျသုံးဖုန်းမှ လုံးလုံးလျားလျားရွှေ့ရန်ဖြစ်သည်။ Quantography Labs သည် Lock.com ကို တီထွင်သည့်အဖွဲ့သည် အနီးတစ်ဝိုက်တွင် စောစီးစွာဝင်ရောက်နိုင်သော ပလပ်ဖောင်းတစ်ခုကို တည်ဆောက်နေသည်။ သီးခြား Crypto ပိုက်ဆံအိတ် အရောင်းအ၀ယ်တည်ဆောက်မှုကို လက်မှတ်ရေးထိုးခြင်းမှ ခွဲထုတ်သည့် မော်ဒယ်၊ သမားရိုးကျ ဟာ့ဒ်ဝဲပိုက်ဆံအိတ်များနှင့် မတူဘဲ၊ တစ်ဦးတည်းပိုင် ဖာမ်းဝဲ သို့မဟုတ် တစ်ခုတည်းသော ရောင်းချသူ ထောက်ပံ့ရေးကွင်းဆက်အပေါ် မူတည်ရန် ဒီဇိုင်းထုတ်ထားခြင်း မဟုတ်ပါ။ ပရောဂျက်၏ ဗိသုကာဆိုင်ရာ ဖော်ပြချက်အရ Lock.com Wallet အက်ပ်သည် အစုရှယ်ယာများကို စီမံခန့်ခွဲရန်နှင့် လက်မှတ်မထိုးထားသော ငွေပေးငွေယူများကို တည်ဆောက်ရန်အတွက် အသုံးပြုသူ၏ နေ့စဉ်စက်ပစ္စည်းပေါ်တွင် အလုပ်လုပ်ရန် ဒီဇိုင်းထုတ်ထားပြီး ဆက်စပ် Signer သည် အမှန်တကယ် သီးသန့်သော့များနှင့် မျိုးစေ့များကို ကိုင်ဆောင်ထားသည့် အော့ဖ်လိုင်းစက်ပစ္စည်းပေါ်တွင် နေထိုင်ရန် ရည်ရွယ်ထားသည်။ အဆိုပြုထားသော စီးဆင်းမှုတွင်၊ လက်မှတ်မထိုးထားသော ငွေပေးငွေယူကို အွန်လိုင်းပတ်ဝန်းကျင်သို့ ပြန်မပို့မီ လုပ်ဆောင်ချက်တစ်ခုစီသည် QR ကုဒ်များ သို့မဟုတ် Bluetooth ကဲ့သို့သော ကန့်သတ်ချန်နယ်များမှတစ်ဆင့် Wallet နှင့် Signer အကြား ငွေပေးငွေယူများကို ဖြတ်သန်းသွားမည်ဖြစ်သည်။

Panama-registered Quantography Labs SA သည် ငွေပေးငွေယူတည်ဆောက်မှုနှင့် လက်မှတ်ရေးထိုးခြင်းမှ ခွဲထွက်သော Isolated Crypto Wallet မော်ဒယ်ပတ်လည်တွင် တည်ဆောက်ထားသော Lock.com ပလပ်ဖောင်းကို လုပ်ဆောင်ပါသည်။ ကုမ္ပဏီ၏နည်းပညာဆိုင်ရာဖော်ပြချက်အရ Lock.com Wallet အက်ပ်သည် အစုရှယ်ယာများကို စီမံခန့်ခွဲရန်နှင့် လက်မှတ်မထိုးထားသော ငွေပေးငွေယူများတည်ဆောက်ရန်အတွက် အသုံးပြုသူ၏နေ့စဉ်စက်ပစ္စည်းပေါ်တွင် အလုပ်လုပ်သော်လည်း ဆက်စပ် Signer သည် အမှန်တကယ်ကိုယ်ပိုင်သော့များနှင့် မျိုးစေ့များကိုကိုင်ဆောင်ထားသည့် သီးခြားအော့ဖ်လိုင်းစက်ပစ္စည်းပေါ်တွင် နေထိုင်ပါသည်။ အရောင်းအ၀ယ်ပြုလုပ်ခြင်းကို လက်မှတ်မထိုးထားသော ငွေပေးငွေယူကို အွန်လိုင်းပတ်ဝန်းကျင်သို့ ပြန်မပို့မီ လုပ်ဆောင်ချက်တစ်ခုစီသည် QR ကုဒ်များ သို့မဟုတ် Bluetooth ကဲ့သို့သော ကန့်သတ်ချန်နယ်များမှ Wallet နှင့် Signer အကြား ငွေပေးငွေယူများကို ဖြတ်သန်းပါသည်။

ဒီဇိုင်းအားဖြင့်၊ ထိုဗိသုကာလက်ရာသည် မိုဘိုင်းအသုံးချမှုများ၏ ကျယ်ပြန့်သောအတန်းများကို ပြုလုပ်ရန် ကြိုးပမ်းသည် – ရည်ရွယ်ချက်ဖြင့် ပြန်လည်လမ်းညွှန်မှု SDK ချွတ်ယွင်းချက်များမှ ကွင်းဆက်အပြည့်အထိ iOS တိုက်ခိုက်မှုများ – ဘေးဥပဒ်နည်းပါးခြင်း။ အပေးအယူခံရသောအက်ပ် သို့မဟုတ် OS သည် အွန်လိုင်း Wallet အင်တာဖေ့စ်အပေါ် ထိန်းချုပ်မှုကို ရယူထားသော်လည်း၊ သီးခြား Signer စက်ပစ္စည်းသို့ ဝင်ရောက်ခြင်းမရှိဘဲ အရင်းခံသော့များကို ထုတ်ယူခြင်း သို့မဟုတ် မတရားသောလှုပ်ရှားမှုများကို လက်မှတ်ထိုး၍မရပါ။ တစ်နည်းဆိုရသော်၊ တိုက်ခိုက်မှုမျက်နှာပြင်သည် “ သင့်ဖုန်းပေါ်တွင် လုပ်ဆောင်နေသည့် မည်သည့်ကုဒ်မဆို” မှ “ သီးသန့်လက်မှတ်ထိုးသူ၏ ရုပ်ပိုင်းဆိုင်ရာ အပေးအယူ” သို့ ကျုံ့သွားပါသည်။” ယခု mobile zero-days နှင့် SDK ပြဿနာများသည် ထပ်တလဲလဲ ခေါင်းစီးတစ်ခုဖြင့်၊ စက်မှုလုပ်ငန်းသည် သီးခြားလက်မှတ်ထိုးခြင်းနှင့် ကိရိယာအစုံလိုက်ခွင့်ပြုချက်စီးဆင်းမှု၊ Multi-device flows နှင့် cryptography. ခံနိုင်ရည်ရှိသော ကွမ်တမ်မာရေးစနစ်တို့ကို ပိုမိုစမ်းသပ်မြင်နိုင်ဖွယ်ရှိသည်။ လုံခြုံရေးအသိရှိသော အသုံးပြုသူများအတွက်၊ အပေးအယူသည် ရှင်းနေသည်- လာမည့် SDK သို့မဟုတ် OS အဆင့် exploit ၏ ပေါက်ကွဲမှုအချင်းဝက်ကို လျှော့ချရန်အတွက် လဲလှယ်ရာတွင် ငွေပေးငွေယူအချိန်၌ အနည်းငယ်ပို၍ ပွတ်တိုက်မှုဖြစ်သည်။