के साथ ऐप स्टोर सबमिशन में 60% की वृद्धि जैसे ही डेवलपर्स वाइब कोडिंग और एआई-असिस्टेड डेवलपमेंट टूल्स को अपनाते हैं, ऐप्पल की ऐप स्टोर टीम ने एक उभरती हुई सुरक्षा चुनौती की पहचान की है: क्या होता है जब आपके द्वारा डाउनलोड किया गया ऐप बाद में मौलिक रूप से कुछ अलग हो जाता है – ऐप्पल को उन परिवर्तनों की समीक्षा करने का मौका दिए बिना।
वाइब नई हमले की सतह को कोडिंग कर रहा है
मान लीजिए कि आप एक साधारण शतरंज ऐप इंस्टॉल करते हैं, बाद में पता चलता है कि इसने खुद को किसी अलग चीज़ में अपडेट कर लिया है, या इसमें बाहरी कोड डाउनलोड किया गया है जो इंस्टॉलेशन के बाद इसे संशोधित या जोड़ता है। कुछ विशेषज्ञ पहले से ही इतनी उम्मीद करते हैं 30% नए सुरक्षा जोखिम जल्दबाजी में बनाए गए वाइब-कोडित ऐप्स द्वारा उत्पन्न होंगे. यह और भी बड़ा जोखिम बन सकता है क्योंकि Apple को कुछ बाज़ारों में ऐप साइडलोडिंग का समर्थन करने के लिए मजबूर होना पड़ा है।
सैद्धांतिक ख़तरा?
गहरा जोखिम यह है कि वैध प्रतीत होने वाले ऐप्स इंस्टॉलेशन के बाद असत्यापित, दूरस्थ रूप से वितरित कोड पेश कर सकते हैं। यह एक ज्ञात मैलवेयर पैटर्न है; एक ऐतिहासिक उदाहरण XcodeGhost है, जो Apple के Xcode विकास वातावरण का एक समझौता संस्करण है जो इसके साथ बनाए गए ऐप्स को संक्रमित करता है। अभी हाल ही में, गुप्त लैब्स उपयोगकर्ता चैट इतिहास और निजी डेटा लीक करने वाले 198 iOS AI ऐप्स की पहचान की गई. आज भी की खबर डार्कस्वॉर्ड आईओएस शोषण पता चलता है कि हैकर्स ऐप्पल के प्लेटफ़ॉर्म को उच्च-मूल्य वाले लक्ष्य के रूप में देखते हैं, जिसका अर्थ है कि किसी भी संभावित सुरक्षा दोष का पता लगाया जाएगा और यदि संभव हो तो उसका फायदा उठाया जाएगा।
सेब सुरक्षा करता है
इस खतरे पर ऐप्पल की नवीनतम प्रतिक्रिया ऐप स्टोर दिशानिर्देशों के एक अद्यतन सेट में दिखाई देती है जिसे सबसे पहले नोट किया गया था सूचना. कथित तौर पर, ऐप्पल रिप्लिट और वाइबकोड जैसे “वाइब कोडिंग” प्लेटफ़ॉर्म पर जोर दे रहा है, यह तर्क देते हुए कि वे ऐप्स को कोड चलाने से रोकने वाले लंबे समय से चले आ रहे नियमों का उल्लंघन करते हैं जो अन्य ऐप्स के व्यवहार को बदल सकते हैं।
इसका उद्देश्य वाइब कोडिंग को बाधित करना नहीं है, मैकअफवाहें हमें बताता है; ऐप्पल विशेष रूप से उन टूल पर आपत्ति जताता है जो ऐप के भीतर एक एम्बेडेड वेब व्यू के अंदर नव निर्मित ऐप्स प्रदर्शित करते हैं।
इसके बजाय, ऐप्पल चाहता है कि ये पूर्वावलोकन बाहरी ब्राउज़र में खोले जाएं, जो ऐप के भीतर ऐप के निष्पादन को रोकता है जिससे समीक्षा में बाधा आ सकती है। मैं कल्पना करता हूं कि बाहरी ब्राउज़र में खोलने का कदम उस ऐप के व्यवहार को अधिक संरक्षित सफ़ारी सैंडबॉक्स सुरक्षा में डाल देगा, जो प्रतिबंधित करता है कि ऐसे ऐप आपके सिस्टम पर क्या कर सकते हैं। कुछ फ़ंक्शन विफल हो सकते हैं, लेकिन अनुमतियाँ सुरक्षित रहेंगी।
गतिशील कोड और खतरा वितरण
यह सोचना आकर्षक है कि चिंता यह है कि ये ऐप्स ऐप्पल के कमीशन ढांचे को बायपास कर सकते हैं। लेकिन Apple स्वयं कहता है कि प्रेरणा सुरक्षा है – ऐप्स को समीक्षा के बिना उनके व्यवहार को मौलिक रूप से बदलने से रोकना।
“वाइब-कोडिंग” उपकरण उपयोगकर्ताओं को ऐप में गतिशील रूप से कोड लिखने, उत्पन्न करने या संशोधित करने की अनुमति देते हैं; ऐसा करने पर, वे एक ऐसा परिदृश्य बनाते हैं जहां उनका उपयोग करके बनाए गए ऐप्स इंस्टॉलेशन के बाद कुछ अलग रूप में विकसित हो सकते हैं। हालाँकि यह शिक्षा और प्रयोग के लिए उपयोगी है, यह संभावित सुरक्षा कमजोरियों की एक श्रृंखला भी बनाता है। उदाहरण के लिए, यदि किसी दुर्भावनापूर्ण अभिनेता ने वाइब-कोडिंग प्लेटफ़ॉर्म से समझौता किया है, तो वे इसके भीतर विकसित ऐप्स में हानिकारक अपडेट भेज सकते हैं।
सेब का डेवलपर दिशानिर्देश पहले से ही इस समस्या का समाधान करने का प्रयास करें:
“ऐप्स को अपने बंडलों में स्व-निहित होना चाहिए और निर्दिष्ट कंटेनर क्षेत्र के बाहर डेटा को पढ़ना या लिखना नहीं चाहिए, न ही वे ऐसे कोड को डाउनलोड, इंस्टॉल या निष्पादित कर सकते हैं जो अन्य ऐप्स सहित ऐप की सुविधाओं या कार्यक्षमता को पेश या बदलते हैं। छात्रों को निष्पादन योग्य कोड का परीक्षण करने के लिए सिखाने या अनुमति देने के लिए डिज़ाइन किए गए शैक्षणिक ऐप, सीमित परिस्थितियों में, कोड डाउनलोड कर सकते हैं, बशर्ते कि ऐसे कोड का उपयोग अन्य उद्देश्यों के लिए नहीं किया जाता है और उपयोगकर्ता द्वारा पूरी तरह से देखने योग्य और संपादन योग्य है।”
मेरे विचार से, इरादा ट्रोजन‑हॉर्स‑शैली के हमलों को कम करना है जो बिना समीक्षा किए कोड निष्पादन द्वारा सक्षम हो सकते हैं।
एप्पल का ऐप स्टोर बैकडोर नहीं बन सकता
अंत में, इस तथ्य के बावजूद कि Apple अब Xcode में GenAI-बूस्टेड वर्कफ़्लो का समर्थन करता है, वह नहीं चाहता कि ऐप स्टोर उन ऐप्स के वितरण के लिए एक माध्यम बन जाए जो अनुमोदन के बाद बिना समीक्षा किए गए कोड को ला सकते हैं या निष्पादित कर सकते हैं। आख़िरकार, यदि प्रत्येक ऐप ऐसा करता है, तो ऐप क्यूरेशन का मूल्य अपने आप कम हो जाता है। हालांकि ऐसा हो सकता है कि अन्य ऐप मार्केटप्लेस इस तरह के लचीलेपन की अनुमति देना चुनते हैं (इसके साथ शुभकामनाएं), ऐप्पल का ऐप स्टोर को वह भूमिका निभाने की अनुमति देने का कोई इरादा नहीं है।
नवंबर में, ऐप्पल ने ऐप प्रतिरूपण को रोकने के लिए एक नए नियम के साथ अपने ऐप समीक्षा दिशानिर्देशों को मजबूत किया। उस नियम में कहा गया है, “आप अपने ऐप के आइकन या नाम में किसी अन्य डेवलपर के आइकन, ब्रांड या उत्पाद के नाम का उपयोग बिना अनुमोदन के नहीं कर सकते।”
ऐप्पल की चिंता यह है कि डायनामिक कोड जनरेशन टूल डेवलपर्स (या हमलावरों) के लिए कॉपीकैट ऐप या ऐप बनाना, तैनात करना और शिप करना आसान बनाते हैं जिन्हें इंस्टॉलेशन के बाद अज्ञात टूल, फ्रेमवर्क या रिमोट कोड का उपयोग करके अपडेट किया जा सकता है। जेनरेटिव एआई (जेनएआई) जटिल कोड को तुरंत तैयार करना आसान बनाकर इस जोखिम को और तेज कर देता है। यह निश्चित रूप से ऐप स्टोर पर अब उपलब्ध लगभग 2.28 मिलियन ऐप्स में योगदान दे रहा है, जो कि है 160,000 तक ऊपर एक साल पहले से.
भय, अनिश्चितता, संदेह – और अवसर
ऐप स्टोर टीम जिस खतरे से हमें बचाना चाहती है, वह एआई-संचालित चुनौतियों का एक स्वाभाविक विस्तार है जो हम पहले से ही अपने जीवन में अनुभव कर रहे हैं। जिस तरह अब हम अतिरिक्त उंगलियों के संकेत के लिए कॉफी शॉप में विश्व नेताओं की एआई-जनरेटेड छवियों की जांच करते हैं, हमें जल्द ही यह सवाल करने की ज़रूरत हो सकती है कि क्या हमारे डिवाइस पर मौजूद ऐप्स वास्तव में वही हैं जो वे होने का दावा करते हैं। इसके अलावा, निश्चित रूप से, जैसे अपराधी वाइब-जनरेटेड ऐप्स में सामान्य कोड हस्ताक्षरों की पहचान करते हैं, वे अभी भी आकर्षक नई हमले वाली सतहों की पहचान कर सकते हैं जो अभी तक किसी और के सामने नहीं आई हैं।
यह अतिशयोक्ति नहीं है – हम जानते हैं कि हम दिलचस्प समय में रह रहे हैं। इसमें कोई संदेह नहीं है कि जब हमारे डिजिटल उपकरणों पर काम करने वाले ऐप्स की बात आती है जिसमें हमारा अपना बहुत सारा निजी डेटा होता है, तो तेजी से आगे बढ़ने और हमारे पास बची हुई कुछ बची हुई चीजों को तोड़ने की तुलना में सुरक्षित खेलना और सामरिक रूप से तैनात करना कहीं बेहतर है।
आप मुझे सोशल मीडिया पर फ़ॉलो कर सकते हैं! मेरे साथ जुड़ें नीला आकाश, Linkedinऔर मेस्टोडोन.