বাড়ি Securitywatch এখন দেখবেন না! গুগল গ্লাস নিম্নমানের কিউআর কোড দ্বারা বেঁধেছে

এখন দেখবেন না! গুগল গ্লাস নিম্নমানের কিউআর কোড দ্বারা বেঁধেছে

ভিডিও: 15 दिन में सà¥?तनों का आकार बढाने के आसाà (নভেম্বর 2024)

ভিডিও: 15 दिन में सà¥?तनों का आकार बढाने के आसाà (নভেম্বর 2024)
Anonim

এই সপ্তাহের শুরুতে, আমরা গুগল গ্লাসের কয়েকটি বৈশিষ্ট্য কীভাবে আক্রমণ ভেক্টর হিসাবে ব্যবহার করতে পারি সে সম্পর্কে লিখেছিলাম। ভাল ভদ্র পাঠক, এটি ইতিমধ্যে ঘটেছে: লুকআউট ঘোষণা করেছে যে তারা গুগল গ্লাসে একটি গুরুতর দুর্বলতা আবিষ্কার করেছে। ধন্যবাদ, গুগল ইতোমধ্যে সমস্যাটি ছড়িয়ে দিয়েছে।

লুকআউটের প্রধান সুরক্ষা বিশ্লেষক মার্ক রজার্স সিকিউরিটি ওয়াচকে বলেছেন যে কীভাবে পরিধেয় কম্পিউটারের কিউআর কোডগুলি প্রক্রিয়া করা যায় তার একটি দুর্বলতা আবিষ্কার করে। গ্লাসের সীমিত ব্যবহারকারীর ইন্টারফেসের কারণে গুগল কোনও ফটোগ্রাফে যে কোনও কিউআর কোড স্বয়ংক্রিয়ভাবে প্রক্রিয়া করতে ডিভাইসের ক্যামেরা সেট আপ করে।

"এটির মুখোমুখি এটি একটি উত্তেজনাপূর্ণ বিকাশ, " রজার্স বলেছেন। "তবে গ্লাসটি যে কমান্ড কোডটিকে স্বীকৃতি দিয়েছে তা দেখার মুহূর্তটি, এটি কার্যকর করে।" এই জ্ঞানের সাহায্যে লুকআউট দূষিত কিউআর কোডগুলি তৈরি করতে সক্ষম হয়েছিল যা গ্লাসকে ব্যবহারকারীর অজানা ছাড়াই ক্রিয়া সম্পাদন করতে বাধ্য করেছিল।

গ্লাস-castালাই এবং ক্ষতিকারক Wi-Fi

তৈরি করা প্রথম দূষিত কিউআর কোড লুকআউট ব্যবহারকারীর অজান্তেই একটি "গ্লাস-কাস্ট" শুরু করবে। নিরবিচ্ছিন্ন হয়ে যাওয়ার জন্য, গ্লাস-ingালাই গুগল গ্লাস স্ক্রিনে যা কিছু উপস্থিত তা জোড়যুক্ত ব্লুটুথ ডিভাইসে ভাগ করে।

রজার্স উল্লেখ করেছিলেন যে এটি আসলে একটি শক্তিশালী বৈশিষ্ট্য। "আপনি যদি গ্লাস ইউআইয়ের দিকে লক্ষ্য করেন তবে এটি কেবলমাত্র একটি ব্যক্তি দ্বারা পরা যেতে পারে, " তিনি ব্যাখ্যা করেছিলেন। গ্লাস-কাস্টের সাহায্যে, পরিধানকারীরা অন্য লোকের সাথে তাদের মতামত ভাগ করতে পারেন। লুকআউটের দূষিত কিউআর কোডটি অবশ্য ব্যবহারকারীর অজান্তেই সম্পূর্ণভাবে একটি গ্লাস-কাস্ট ট্রিগার করেছে।

যদিও কেউ আপনার মুখের দিকে এত ঘনিষ্ঠভাবে অবস্থানযুক্ত কোনও পর্দা দেখতে সক্ষম হবেন সেই ধারণাটি অত্যন্ত উদ্বেগজনক, আক্রমণটির কিছু স্পষ্ট সীমাবদ্ধতা রয়েছে। প্রথম এবং সর্বাগ্রে, একজন আক্রমণকারীকে ব্লুটুথের মাধ্যমে সংক্রমণ গ্রহণের জন্য পর্যাপ্ত পরিমাণে থাকতে হবে। আরও কী, কোনও আক্রমণকারীকে তাদের ব্লুটুথ ডিভাইসগুলি আপনার Google গ্লাসের সাথে জোড়া দিতে হবে, যার জন্য শারীরিক অ্যাক্সেস প্রয়োজন। যদিও রজার্স এটি করা কঠিন হবে না কারণ গ্লাস, "এর কোনও লকস্ক্রিন নেই এবং আপনি কেবল এটি টেপ করে নিশ্চিত করতে পারেন।"

আরও উদ্বেগ ছিল দ্বিতীয় দূষিত কিউআর কোড লুকআউট তৈরি হয়েছিল, যা গ্লাসটিকে স্ক্যান করার সাথে সাথে একটি মনোনীত Wi-Fi নেটওয়ার্কের সাথে সংযোগ করতে বাধ্য করেছিল। "এমনকি এটি উপলব্ধি না করেই আপনার গ্লাসটি তার অ্যাক্সেস পয়েন্টের সাথে সংযুক্ত এবং তিনি আপনার ট্র্যাফিকটি দেখতে পাচ্ছেন, " রজার্স বলেছিলেন। তিনি দৃশ্যের আরও একধাপ এগিয়ে বলেছিলেন যে আক্রমণকারী "একটি ওয়েব দুর্বলতার সাথে সাড়া দিতে পারে, এবং এই মুহূর্তে গ্লাসটি হ্যাক হয়ে যায়।"

এগুলি কেবল উদাহরণস্বরূপ, তবে অন্তর্নিহিত সমস্যাটি হ'ল গুগল কখনই এমন পরিস্থিতিতেপথের জন্য দায়বদ্ধ ছিল না যেখানে ব্যবহারকারীরা অজান্তে কোনও কিউআর কোড তোলা। একজন আক্রমণকারী সহজেই একটি জনপ্রিয় পর্যটন স্পটে একটি দূষিত কিউআর কোড পোস্ট করতে পারে বা প্ররোচিত হিসাবে কিউআর কোডটি সাজাতে পারে। বিতরণ পদ্ধতি যাই হোক না কেন, ফলাফলটি ব্যবহারকারীর কাছে অদৃশ্য।

গুগল রেসকিউ

একবার লুকআউট দুর্বলতাটি খুঁজে পেয়েছিল, তারা এটি গুগলকে জানিয়েছিল যারা দু'সপ্তাহের মধ্যেই এই সমস্যার সমাধান করেছিল। "এটি একটি ভাল লক্ষণ যে গুগল এই দুর্বলতাগুলি পরিচালনা করছে এবং সেগুলি একটি সফ্টওয়্যার সমস্যা হিসাবে বিবেচনা করছে, " রজার্স বলেছেন। "ব্যবহারকারীরা এমনকি সমস্যা সম্পর্কে সচেতন হওয়ার আগে তারা নীরবে আপডেটগুলি জানাতে পারে এবং দুর্বলতাগুলি ঠিক করতে পারে।"

গ্লাস সফ্টওয়্যারটির নতুন সংস্করণে, কিউআর কোড কার্যকর হওয়ার আগে আপনাকে কোনও প্রাসঙ্গিক সেটিংস মেনুতে নেভিগেট করতে হবে। উদাহরণস্বরূপ, কোনও ওয়াই-ফাই নেটওয়ার্কের সাথে সংযোগ করার জন্য একটি কিউআর কোড ব্যবহার করতে আপনাকে প্রথমে নেটওয়ার্ক সেটিংস মেনুতে থাকতে হবে। গ্লাস এখন ব্যবহারকারীকে কিউআর কোড কী করবে সে সম্পর্কে অবহিত করবে এবং এটি কার্যকর করার আগে অনুমতি চাইবে।

এই নতুন সিস্টেমটি অনুমান করে যে আপনি কিউআর কোডটি স্ক্যান করার আগে কী করবে তা আপনি জানেন যে স্পষ্টতই গুগল শুরু থেকেই এই পরিকল্পনা করেছিল। গ্লাস ছাড়াও, গুগল অ্যান্ড্রয়েড ফোনগুলির জন্য একটি সহযোগী অ্যাপ্লিকেশন তৈরি করেছে যা কিউআর কোড তৈরি করে যাতে ব্যবহারকারীরা দ্রুত তাদের কাচের ডিভাইসগুলি কনফিগার করতে পারেন। গুগল কিউআর কোডগুলি আক্রমণের এভিনিউ হিসাবে সহজেই আগে থেকে প্রত্যাশা করেছিল।

ভবিষ্যতে

আমি যখন রজার্সের সাথে কথা বললাম তখন সে কাচের ভবিষ্যত এবং এর মতো পণ্য সম্পর্কে খুব আশাবাদী ছিল। তিনি বলেছিলেন যে গুগলের প্রতিক্রিয়ার গতি এবং সহজেই আপডেটটি যেভাবে প্রয়োগ করা হয়েছিল তা অনুকরণীয়। তবে, আমি ফ্র্যাকচারড অ্যান্ড্রয়েড ইকোসিস্টেমটি দেখতে সাহায্য করতে পারি না এবং ভাবছি যে ভবিষ্যতের ডিভাইস এবং দুর্বলতাগুলি এত চতুরভাবে পরিচালনা করা যায় না।

রজার্স এই সমস্যাগুলিকে গ্লাসের সাথে চিকিত্সা সরঞ্জামগুলিতে প্রাপ্তগুলির সাথে তুলনা করেছেন, যা বহু বছর আগে আবিষ্কৃত হয়েছিল কিন্তু এখনও পুরোপুরি সমাধান করা যায় নি। "আমরা ফার্মওয়্যার দিয়ে স্ট্যাটিক হার্ডওয়্যারের মতো পরিচালনা করতে পারি না আমরা কখনই আপডেট করি না, " তিনি বলেছিলেন। "আমাদের চটফটে হওয়া দরকার।"

তার আশাবাদ সত্ত্বেও, রজার্সের কিছু সতর্কতার কথা ছিল। "নতুন জিনিসগুলির অর্থ নতুন দুর্বলতা, " তিনি বলেছিলেন। "খারাপ লোকেরা বিভিন্ন জিনিস খাপ খাইয়ে নেয় এবং চেষ্টা করে।"

এখন দেখবেন না! গুগল গ্লাস নিম্নমানের কিউআর কোড দ্বারা বেঁধেছে