ভিডিও: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (নভেম্বর 2024)
মোবাইল অপারেটিং সিস্টেম সম্পর্কে সেরা জিনিসগুলির একটি স্যান্ডবক্সিং। এই কৌশলটি অ্যাপ্লিকেশনগুলিকে ভাগ করে দেয়, ঝুঁকিপূর্ণ অ্যাপগুলিকে (বা কোনও অ্যাপ্লিকেশন) আপনার অ্যান্ড্রয়েডের উপর নিখরচায় রাখার হাত থেকে বাঁচায়। তবে একটি নতুন দুর্বলতার অর্থ হতে পারে যে অ্যান্ড্রয়েডের স্যান্ডবক্সটি আমরা ভেবেছিলাম তেমন শক্তিশালী নয়।
এটা কি?
ব্ল্যাক হ্যাটে, জেফ ফোরিস্টাল প্রমাণ করেছিলেন যে কীভাবে অ্যান্ড্রয়েড শংসাপত্রগুলি পরিচালনা করে তার একটি ত্রুটি কীভাবে স্যান্ডবক্স থেকে বাঁচতে পারে। এটি এমনকি দূষিত অ্যাপ্লিকেশনগুলিকে উচ্চতর সুবিধাগুলির মাত্রা দেওয়ার জন্য ব্যবহার করা যেতে পারে, সমস্তই তাদের ফোনে কী চলছে সে সম্পর্কে কোনও ইঙ্গিত না দিয়ে। ফরিস্টাল বলেছিলেন যে এই দুর্বলতা ডেটা, পাসওয়ার্ড চুরি করতে এবং একাধিক অ্যাপ্লিকেশনগুলির পুরো নিয়ন্ত্রণ নিতে ব্যবহৃত হতে পারে।
ইস্যুটির মূলটি হ'ল শংসাপত্রগুলি, যা মূলত অল্প ক্রিপ্টোগ্রাফিক ডকুমেন্ট যা কোনও অ্যাপ্লিকেশন সেটিকে কী বলে দাবি করে তা নিশ্চিত করার জন্য। ফরিস্টাল ব্যাখ্যা করেছিলেন যে সত্যতা নিশ্চিত করার জন্য এটি ওয়েবসাইটগুলির দ্বারা ব্যবহৃত ঠিক একই প্রযুক্তি। তবে দেখা গেছে, অ্যান্ড্রয়েড শংসাপত্রগুলির মধ্যে ক্রিপ্টোগ্রাফিক সম্পর্ক পরীক্ষা করে না। ফরিস্টাল বলেছিলেন, এই ত্রুটিটি "অ্যান্ড্রয়েড সুরক্ষা ব্যবস্থার জন্য বেশ মৌলিক।"
এর মানে কি
তার বিক্ষোভের জন্য, ফরিস্টাল একটি নকল গুগল পরিষেবাদি আপডেট ব্যবহার করেছে যার মধ্যে একটি নকল আইডি দুর্বলতা ব্যবহার করে দূষিত কোড রয়েছে The অ্যাপটি এমন একটি সামাজিক প্রকৌশল ইমেল সহ বিতরণ করা হয়েছিল যেখানে আক্রমণকারী আক্রান্তের আইটি বিভাগের অংশ হিসাবে পোজ দেয়। ভুক্তভোগী অ্যাপটি ইনস্টল করতে গেলে তিনি দেখতে পান যে অ্যাপ্লিকেশনটির কোনও অনুমতিের প্রয়োজন নেই এবং এটি বৈধ বলে মনে হচ্ছে। অ্যান্ড্রয়েড ইনস্টলেশন চালিয়ে যায় এবং সবকিছু ঠিকঠাক বলে মনে হয়।
তবে ব্যাকগ্রাউন্ডে, ফরিস্টালের অ্যাপ্লিকেশনটি স্বয়ংক্রিয়ভাবে এবং তাত্ক্ষণিকভাবে ডিভাইসের অন্যান্য অ্যাপ্লিকেশনগুলিতে দূষিত কোড ইনজেক্ট করার জন্য একটি ফেক আইডি দুর্বলতা ব্যবহার করেছে। বিশেষত, ফ্ল্যাশ আপডেট করার জন্য একটি অ্যাডোব শংসাপত্র যার তথ্য অ্যান্ড্রয়েডে হার্ডকড করা ছিল। কয়েক সেকেন্ডের মধ্যেই, তার ডিভাইসে পাঁচটি অ্যাপের নিয়ন্ত্রণ ছিল - যার মধ্যে কয়েকটির দ্বারা আক্রান্তের ডিভাইসে গভীর অ্যাক্সেস ছিল।
এটাই প্রথম নয় যে ফরিস্টাল অ্যান্ড্রয়েডের সাথে গোলমাল করলেন। ২০১৩ সালে ফিরে, ফরিস্টাল অ্যান্ড্রয়েড সম্প্রদায়কে চমকে দিয়েছিলেন যখন তিনি তথাকথিত মাস্টার কী শোষণটি উন্মোচন করেছিলেন। এই বিস্তৃত দুর্বলতার অর্থ হ'ল জাল অ্যাপ্লিকেশনগুলি বৈধ হিসাবে ছদ্মবেশ ধারণ করতে পারে, সম্ভাব্যভাবে দূষিত অ্যাপ্লিকেশনগুলিকে একটি বিনামূল্যে পাস দেয়।
আইডি চেক করুন
ফরিস্টালের প্রসেন্টেশনটি কেবলমাত্র অ্যান্ড্রয়েড সম্পর্কে চক্ষু খোলার সংবাদই দেয়নি, এটি আমাদের আধ্যাত্মিকদের রক্ষা করার জন্য একটি সরঞ্জামও দিয়েছে। ফোরিস্টাল এই দুর্বলতা সনাক্ত করতে একটি বিনামূল্যে স্ক্যানিং সরঞ্জাম প্রকাশ করেছেন। অবশ্যই, এর অর্থ এখনও পর্যন্ত লোকেরা তাদের ফোনে ম্যালওয়ারটি আটকাতে হবে।
গুগলে বাগটিও জানানো হয়েছে, এবং বিভিন্ন স্তরে স্পষ্টতই প্যাচগুলি প্রকাশিত হচ্ছে।
আরও গুরুত্বপূর্ণ, পুরো আক্রমণটি অ্যাপটি ইনস্টল করার শিকারের উপর নির্ভর করে। সত্য, এটিতে প্রচুর অনুমতি চাওয়ার লাল পতাকা নেই, তবে ফরিস্টাল বলেছিলেন যে ব্যবহারকারীরা যদি "ছায়াময় জায়গা" থেকে অ্যাপগুলি এড়িয়ে যান (পড়ুন: গুগল প্লে এর বাইরে) তারা নিরাপদে থাকবেন। অন্তত এখনকার জন্য.
