ভিডিও: 15 दिन में सà¥?तनों का आकार बढाने के आसाà (নভেম্বর 2024)
চীনা বাজারে বিতরণ করা দুটি অ্যাপ অ্যান্ড্রয়েডের "মাস্টার কী" দুর্বলতা কাজে লাগিয়েছে, সিম্যানটেক গবেষকরা জানিয়েছেন।
"মাস্টার কী" দুর্বলতা, এই মাসের শুরুর দিকে প্রচারিত, আক্রমণকারীদের অ্যাপ্লিকেশন প্যাকেজে বিদ্যমান নাম হিসাবে সঠিক নামটির সাথে একটি দূষিত ফাইল byুকিয়ে বিদ্যমান অ্যাপ্লিকেশনগুলিকে সংশোধন করার অনুমতি দেয়। অ্যান্ড্রয়েড যখন প্যাকেজ ফাইলটি খুলবে, এটি প্রথম ফাইলটির ডিজিটাল স্বাক্ষরটিকে বৈধতা দেয় এবং দ্বিতীয়টিকে বৈধতা দেয় না কারণ এটি মনে করে যে এটি ইতিমধ্যে সেই ফাইলটিকে বৈধ করেছে। সবচেয়ে বড় উদ্বেগটি হ'ল আক্রমণকারীরা দূষিত অ্যাপ্লিকেশনগুলি তৈরি করতে ত্রুটিটি কাজে লাগাতে পারে যা বৈধ অ্যাপ্লিকেশন হিসাবে মুখোমুখি হতে পারে এবং ব্যবহারকারী ডিভাইসগুলির দূর থেকে নিয়ন্ত্রণ নিতে পারে।
সিম্যানটেক চীনের একটি অ্যাপ মার্কেটপ্লেসে বিতরণ করা দুটি অ্যাপ্লিকেশন খুঁজে পেয়েছিল যা শোষণ ব্যবহার করছে। সিম্যানটেক সিকিউরিটি রেসপন্স ব্লগের বুধবারের একটি পোস্ট অনুসারে এই অ্যাপ্লিকেশনগুলি একজন ডাক্তারের সাথে অ্যাপয়েন্টমেন্টগুলি খুঁজে পেতে এবং তৈরি করতে ব্যবহৃত হয়।
"আমরা আশা করি আক্রমণকারীরা অসম্পূর্ণ ব্যবহারকারী ডিভাইসগুলিতে সংক্রামিত হওয়ার জন্য এই দুর্বলতাটি অব্যাহত রাখবে, " ব্লগ পোস্টটি বলেছে।
অ্যাপ্লিকেশন বিকাশকারী অ্যান্ড্রয়েড.স্কুলকি নামে ম্যালওয়্যার যুক্ত করতে দুর্বলতা কাজে লাগিয়েছে। এই ট্রোজান আপসযুক্ত ফোনগুলি থেকে ডেটা চুরি করে, হ্যান্ডসেটটিতে প্রাপ্ত লিখিত পাঠ্য রচনাগুলি এবং প্রিমিয়াম নম্বরগুলিতে এসএমএস বার্তা প্রেরণ করে। এই ডিভাইসগুলিতে ইনস্টল করা মোবাইল সুরক্ষা সফ্টওয়্যার অ্যাপ্লিকেশনগুলিও ট্রোজান অক্ষম করতে পারে।
গুগল কি এই অ্যাপসের জন্য স্ক্যান করছে?
সিম্যানটেকের প্রতিবেদন গুগল প্লেতে বিটডেফেন্ডার দুটি অ্যাপ পেয়েছিল যেগুলি সদৃশ ফাইলের নামও ব্যবহার করেছিল, তবে দূষিতভাবে নয়। রোজ ওয়েডিং কেক গেম এবং পাইরেটস দ্বীপ মাহজংয়ে দুটি ডুপ্লিকেট ইমেজ ফাইল (পিএনজি) থাকে যা গেমের ইন্টারফেসের অংশ।
বিটডেফেন্ডারের সিনিয়র ই-হুমকি বিশ্লেষক বোগদান বোটেজাতু সর্বশেষ হট ফর সিকিউরিটি ব্লগে লিখেছিলেন, "অ্যাপ্লিকেশনগুলি দূষিত কোডটি চালাচ্ছে না - তারা কেবলমাত্র প্যাকেজে কোনও চিত্র ফাইলের ওভাররাইট করতে অ্যান্ড্রয়েড বাগটি প্রকাশ করছে, সম্ভবত ভুলভাবেই, " সপ্তাহে।
বোটেজাতু সিকিউরিটি ওয়াচকে বলেন, "এপিএকের একই পথে একই নামে দুটি ফাইল থাকার কোনও কারণ নেই।"
উভয় অ্যাপ্লিকেশন সম্প্রতি আপডেট করা হয়েছে এবং এটি "বিশেষত আকর্ষণীয়" যে গুগল প্লে দ্বারা স্ক্যান করার সময় অ্যাপগুলি কোনও লাল পতাকা উত্থাপন করেনি, বোতেজাতু বলেছেন। মনে রাখবেন, গুগল বলেছিল যে তারা এই দুর্বলতার অপব্যবহার করে এমন অ্যাপ্লিকেশনগুলি ব্লক করতে গুগল প্লেতে পরিবর্তন করেছে। এখন প্রশ্নটি মনে হচ্ছে ঠিক যখন গুগল তার বাজারের স্ক্যানার আপডেট করেছিল, যেহেতু বিয়ের কেক গেমটি সর্বশেষ জুনে আপডেট হয়েছিল। অথবা এটি কেবল এটিই হতে পারে যে গুগল স্বীকৃতি দিয়েছে যে ডুপ্লিকেট চিত্র ফাইলের নামগুলি কোনও কার্যনির্বাহী কোড না থাকায় দূষিত নয় এবং অ্যাপ্লিকেশনগুলি এর মাধ্যমে দেওয়া যাক।
অফিশিয়াল মার্কেটপ্লেস থেকে দূরে থাকুন
যেমন আমরা অতীতে পরামর্শ দিয়েছি, গুগল প্লেতে লেগে থাকুন এবং তৃতীয় পক্ষের উত্স যেমন আনঅফিসিয়াল মার্কেটপ্লেস, ফোরাম এবং ওয়েবসাইটগুলি থেকে অ্যাপগুলি ডাউনলোড করবেন না। "স্বনামধন্য অ্যান্ড্রয়েড অ্যাপ্লিকেশন মার্কেটপ্লেস" দিয়ে আটকে থাকুন যেখানে অ্যাপ্লিকেশনগুলি তালিকাভুক্ত হওয়ার আগে তাদের যাচাই করা এবং স্ক্যান করা হয়।
গুগল ইতোমধ্যে নির্মাতাদের জন্য একটি প্যাচ প্রকাশ করেছে, তবে এটি হ্যান্ডসেটের সমস্ত মালিকদের কাছে আপডেট কখন পাঠানো হবে তা বিক্রেতাদের এবং ক্যারিয়ারদের উপর নির্ভর করে।
আপনি যদি সায়ানোজেনমড বা অন্যান্য অ্যান্ড্রয়েড বিতরণ ব্যবহার করেন যা ইতিমধ্যে বাগটি প্যাচ করেছে, আপনি এই ধরণের অ্যাপ থেকে রক্ষা পাবেন। আপনি যদি এইভাবে সংশোধিত অ্যাপ্লিকেশনগুলি ইনস্টল করার চেষ্টা করেন, আপনি বার্তাটি দেখতে পাবেন, "প্যাকেজ ফাইলটি সঠিকভাবে স্বাক্ষরিত হয়নি।"