ভিডিও: পাগল আর পাগলী রোমানà§à¦Ÿà¦¿à¦• কথা1 (নভেম্বর 2024)
মধ্য-দ্য-মধ্য-আক্রমণ চলাকালীন, কোনও ব্যক্তি কোনও সুরক্ষিত সাইটের সাথে আপনার সংযোগ হাইজ্যাক করে, উভয় পক্ষের পাঠানো সমস্ত কিছু গ্রহণ করে এবং সম্ভবত এটি দূষিত পরিবর্তনের মাধ্যমে পাশ করে দেয়। আপনি যখন নেটওয়ার্ক থেকে সংযোগ বিচ্ছিন্ন করেন তবে একটি এমআইটিএম আক্রমণ শেষ হয়। আর তাই নয় স্কাইকিউর থেকে ইয়ার অমিত বলছেন (যে লোকেরা আমার আইফোন হ্যাক করেছে)। তারা স্পষ্টতই একটি দুর্বলতা উন্মোচিত করেছে যা আইওএস-এ অ্যাপ্লিকেশনগুলির আচরণ স্থায়ীভাবে পরিবর্তন করতে পারে।
এইচটিটিপি অনুরোধ হাইজ্যাকিং আক্রমণটি পূরণ করুন
স্কাইচার এটিকে একটি এইচটিটিপি রিকুয়েস্ট হাইজ্যাকিং অ্যাটাক বলে অভিহিত করে এবং এটি শুরু হয়, এমআইটিএম আক্রমণ দিয়ে অমিত বলেছিল। আপনি দূষিত নেটওয়ার্কের সাথে সংযুক্ত থাকাকালীন আক্রমণকারী আপনার ট্র্যাফিকটি পর্যবেক্ষণ করে এবং সার্ভার থেকে তথ্য পুনরুদ্ধার করতে অ্যাপ্লিকেশনগুলি সন্ধান করে। তারপরে আক্রমণকারী সেই অনুরোধটিকে বাধা দেয় এবং একটি 301 এইচটিটিপি স্থিতি কোডটি অ্যাপ্লিকেশনটিতে ফেরত পাঠায়। এটি একটি স্থায়ী পুনঃনির্দেশ ত্রুটি এবং ব্রাউজারকে বলে যে এটি সার্ভারটি খুঁজছে তা স্থায়ীভাবে অন্য কোনও জায়গায় চলে গেছে।
অমিত ব্যাখ্যা করেছেন, সমস্ত দুর্বল অ্যাপ্লিকেশন 301 কোড দ্বারা করা পরিবর্তনকে ক্যাশে করবে এবং আগামীর ভবিষ্যতের জন্য পুনর্নির্দেশিত সার্ভারের সাথে সংযুক্ত হতে থাকবে। একটি দূষিত দৃশ্যে, এটি ব্যবহারকারীদের পক্ষে দুর্দান্ত কারণ এর অর্থ দ্রুত এবং আরও নির্ভরযোগ্য সংযোগ। কিন্তু যখন আক্রমণকারী তার 301 ত্রুটিটি প্রেরণ করে, এটি অ্যাপ্লিকেশনটিকে তার সার্ভার থেকে তথ্য লোড করা শুরু করতে বাধ্য করে।
এর প্রভাবগুলি আকর্ষণীয়। অমিত উল্লেখ করেছিলেন যে অনেকগুলি নিউজ এবং স্টকের অ্যাপ্লিকেশনগুলিতে ইউআরএল বার নেই, সুতরাং ব্যবহারকারী কোথা থেকে তথ্য আসছে তা স্পষ্ট নয়। কোনও আপোচিত সংবাদ আবেদনের ক্ষেত্রে অমিত বলেছিলেন, "এখন আপনি আক্রমণকারীর কাছ থেকে ভুয়া সংবাদ পড়ছেন।"
এই জাতীয় আক্রমণটি সূক্ষ্ম হতে পারে, বাজার জালিয়াতি করতে জাল গল্প বা ভুল স্টক তথ্য খাওয়ানো হতে পারে। অথবা কোনও আক্রমণকারী কোনও খবর অ্যাপের সার্ভার থেকে সমস্ত তথ্য অনুধাবন করতে পারে তবে ফিশিং বা আরও খারাপের জন্য দূষিত লিঙ্কগুলি ইনজেক্ট করতে পারে।
বিস্তৃত তবে অব্যবহৃত
অমিত আমাকে যে ভয়ঙ্কর জিনিস বলেছিল আক্রমণটি কী করতে পারে তা নয়, তবে এটি কতটা বিস্তৃত ছিল। কারণ এটি এত সহজ, হাজার হাজার অ্যাপ্লিকেশনগুলি প্রভাবিত হবে বলে মনে হয়। এতগুলি, স্কাইকিউর বলেছে যে দুর্বলতার দায়বদ্ধতার সাথে প্রকাশ করার একমাত্র উপায় ছিল আক্রান্ত অ্যাপগুলির নাম প্রকাশ না করে প্রকাশ্যে এটি বর্ণনা করা।
সুসংবাদটি হ'ল অমিত বলেছেন যে তাঁর দল বুনোতে ব্যবহৃত এই বিশেষ আক্রমণটি দেখেনি। অবশ্যই বোঝা যাচ্ছে যে বিকাশকারীদের তাদের অ্যাপ্লিকেশনগুলি আপডেট করতে এবং কেউ এটি ব্যবহার শুরু করার আগে সমস্যাটি সমাধান করার জন্য দ্রুত সরানো উচিত। সেখানে যে কোনও বিকাশকারীদের অ্যাপ্লিকেশনগুলি কীভাবে উন্নত করা যায় সে সম্পর্কে পরামর্শের জন্য স্কাইকিউর দিকে রওনা হওয়া উচিত।
নিরাপদে থাকা
ব্যবহারকারীরা সবচেয়ে ভাল কাজটি করতে পারে তা হ'ল তাদের অ্যাপগুলিকে আপ টু ডেট রাখা, কারণ বিকাশকারীরা সম্ভবত দুর্বল অ্যাপ্লিকেশনগুলিতে সমাধানগুলি কার্যকর করতে শুরু করবেন। আপনি যদি ভাবেন যে আপনি ইতিমধ্যে এই বিশেষ আক্রমণটির শিকার হয়েছেন, আপনার সন্দেহজনক অ্যাপ্লিকেশনটি আন-ইনস্টল করা উচিত এবং তারপরে এটি অ্যাপ স্টোর থেকে পুনরায় ইনস্টল করা উচিত।
ভবিষ্যতে এই আক্রমণটি এড়ানো অনুশীলনের চেয়ে তত্ত্বের ক্ষেত্রে সহজ easier অমিত বলেন, "ওয়াইফাই নেটওয়ার্কের সাথে সংযুক্ত না হওয়া সর্বদা নিরাপদ তবে দিনের শেষে আমরা সবসময় করি, " অমিত বলেন। কখনও কখনও, এটি এমনকি সুবিধার কোনও সমস্যা নয় কারণ ফোনগুলি ব্যবহারকারীর ক্রিয়া ছাড়াই Wi-Fi নেটওয়ার্কগুলিতে সংযোগ করতে পারে। অমিত ব্যাখ্যা করে বলেছিলেন যে এটিএন্ডটি গ্রাহকরা স্বয়ংক্রিয়ভাবে এটিএন্ডটি নেটওয়ার্কে সংযুক্ত হন। তিনি আরও উল্লেখ করেছিলেন যে কোনও আক্রমণকারী যদি দূষিত প্রোফাইল ব্যবহার করেন, স্কাইকিউর যখন তারা আমার আইফোন হ্যাক করেছিল, তখন কোনও এসএসএল সংযোগও আক্রমণ থামাতে পারে না।
স্কাইকিউরের মতে ওনাসটি বিকাশকারীদের প্রথমে সমস্যা এড়াতে তাদের অ্যাপস তৈরি করতে চলেছে। এবং আশা করি শীঘ্রই, যেহেতু দুর্বলতার তথ্য এখন উপলব্ধ।