Logo bn.androidermagazine.com
Logo bn.androidermagazine.com
» খবর
খবর

এপিকের প্রথম ভাগ্যবান ইনস্টলার হ্যাকারদের নিঃশব্দে আপনার অ্যান্ড্রয়েড ফোনে যে কোনও কিছু ডাউনলোড এবং ইনস্টল করার অনুমতি দেয়

এপিকের প্রথম ভাগ্যবান ইনস্টলার হ্যাকারদের নিঃশব্দে আপনার অ্যান্ড্রয়েড ফোনে যে কোনও কিছু ডাউনলোড এবং ইনস্টল করার অনুমতি দেয়

সুচিপত্র:

Anonim

গুগল প্রকাশ্যেই প্রকাশ করেছে যে এটি এপিকের অ্যান্ড্রয়েডের জন্য প্রথম ফার্টনাইট ইনস্টলারে অত্যন্ত মারাত্মক দুর্বলতা আবিষ্কার করেছে যা আপনার ফোনের যে কোনও অ্যাপ্লিকেশনটিকে ব্যবহারকারীর অজানা ব্যতীত সম্পূর্ণ অনুমতি দেওয়া অ্যাপ্লিকেশন সহ ব্যাকগ্রাউন্ডে যে কোনও কিছু ডাউনলোড এবং ইনস্টল করতে দেয়। গুগলের সুরক্ষা দলটি এপিক গেমসে ব্যক্তিগতভাবে দুর্বলতাটি ব্যক্তিগতভাবে প্রকাশ করেছিল ১৫ ই আগস্ট, এবং এরপরে এপিকের কাছ থেকে এই দুর্বলতার বিষয়টি নিশ্চিত হওয়ার পরে প্রকাশ্যে তথ্য প্রকাশ করেছে।

সংক্ষেপে, অ্যান্ড্রয়েড সেন্ট্রাল এবং অন্যরা এই ধরণের ইনস্টলেশন ব্যবস্থার সাথে সংঘটিত হওয়ার আশঙ্কা করেছিল ঠিক এই ধরণের শোষণ। দুর্বলতা সম্পর্কে আপনার কী জানতে হবে এবং আপনি কীভাবে নিরাপদে এগিয়ে চলেছেন তা নিশ্চিত করার জন্য এখানে।

দুর্বলতা কী এবং এতো খারাপ কেন?

আপনি যখন "ফোর্টনিট" ডাউনলোড করতে যান আপনি আসলে পুরো গেমটি ডাউনলোড করেন না, আপনি প্রথমে ফোর্টনিট ইনস্টলারটি ডাউনলোড করেন। ফোর্টনিট ইনস্টলারটি এমন একটি সহজ অ্যাপ্লিকেশন যা আপনি ডাউনলোড এবং ইনস্টল করেন যা পরবর্তীকালে এপিক থেকে সরাসরি পুরো ফোর্টনিট গেমটি ডাউনলোড করে।

পুরো গেমটি ডাউনলোড করার অনুরোধটি হাইজ্যাক করার জন্য ফোর্টনিট ইনস্টলার সহজেই কাজে লাগানো হয়েছিল।

গুগলের সুরক্ষা দলটি যেমন আবিষ্কার করেছিল, সমস্যাটি হ'ল ফোর্টনিট ইনস্টলারটি এপিক থেকে ফোর্টনিট ডাউনলোড করার অনুরোধ হাইজ্যাক করে এবং গেমটি ডাউনলোড করার জন্য বোতামটি ট্যাপ করার পরে কোনও কিছু ডাউনলোড করার জন্য খুব সহজেই কাজে লাগানো হয়েছিল। এটি "ম্যান-ইন-দ্য ডিস্ক" আক্রমণ হিসাবে পরিচিত: আপনার ফোনের একটি অ্যাপ্লিকেশন ইন্টারনেট থেকে কিছু ডাউনলোড করার জন্য অনুরোধ খুঁজছে এবং মূল ডাউনলোডিং অ্যাপটির অজানা, এর পরিবর্তে অন্য কিছু ডাউনলোড করার অনুরোধ করে। নিখুঁতভাবে এটি সম্ভব কারণ ফোর্টনিট ইনস্টলারটি ভুলভাবে ডিজাইন করা হয়েছিল - ফোরনাট ইনস্টলারের কোনও ধারণা নেই যে এটি ম্যালওয়্যার ডাউনলোডকে সহজতর করেছে, এবং "লঞ্চ" ট্যাপিং এমনকি ম্যালওয়্যারটি চালু করে।

শোষণের জন্য, আপনার ফোনে এমন একটি অ্যাপ্লিকেশন ইনস্টল করা দরকার যা এই ধরণের দুর্বলতার সন্ধান করছিল - তবে ফোর্টনিটের জনপ্রিয়তা এবং মুক্তির প্রত্যাশায়, সম্ভবত সেখানে অপ্রত্যাশিত অ্যাপ রয়েছে এমন সম্ভাবনা রয়েছে are ঠিক যে করছেন। অনেক সময় দূষিত অ্যাপ্লিকেশনগুলি ফোনে ইনস্টল করা থাকে তবে সেগুলির একক শোষণ হয় না, তাদের পরীক্ষার জন্য বহু ज्ञিত দুর্বলতায় পূর্ণ পেলোড থাকে এবং এই ধরণের আক্রমণ তাদের মধ্যে একটি হতে পারে।

এক ট্যাপের সাহায্যে আপনি একটি দূষিত অ্যাপ্লিকেশনটি ডাউনলোড করতে পারেন যার কাছে আপনার ফোনের সমস্ত ডেটাতে সম্পূর্ণ অনুমতি এবং অ্যাক্সেস রয়েছে।

এখানে জিনিসগুলি যেখানে খুব খারাপ হয়। অ্যান্ড্রয়েডের অনুমতিগুলির মডেল যেভাবে কাজ করে তার কারণে, আপনি ফোরনাটের জন্য এই ইনস্টলেশনটি গ্রহণ করার সময়ের বাইরে "অজানা উত্স" থেকে কোনও অ্যাপ্লিকেশন ইনস্টল করতে হবে না। যেভাবে এই শোষণটি কাজ করে তার কারণে, ইনস্টলেশন প্রক্রিয়া চলাকালীন এমন কোনও ইঙ্গিত পাওয়া যায়নি যে আপনি ফোর্টনিট (এবং ফোর্টনিট ইনস্টলার এর কোনও জ্ঞান নেই) ব্যতীত, যখন ব্যাকগ্রাউন্ডে একটি সম্পূর্ণ আলাদা অ্যাপ ইনস্টল করা হচ্ছে। ফরটানাইট ইনস্টলার থেকে অ্যাপটি ইনস্টল করার প্রত্যাশিত প্রবাহের মধ্যেই এটি ঘটে যায় - আপনি ইনস্টলেশনটি গ্রহণ করেন, কারণ আপনি মনে করেন আপনি গেমটি ইনস্টল করছেন। গ্যালাক্সি অ্যাপস থেকে অ্যাপটি পাওয়া স্যামসাং ফোনগুলিতে, বিশেষত, বিষয়গুলি কিছুটা খারাপ: "অজানা উত্সগুলি" থেকে অনুমতি দেওয়ার জন্য প্রথম প্রম্পট এমনকি নেই কারণ গ্যালাক্সি অ্যাপস একটি পরিচিত উত্স। আরও এগিয়ে গিয়ে, সবেমাত্র নিঃশব্দে ইনস্টল হওয়া অ্যাপ্লিকেশনটি আপনার পরবর্তী সম্মতি ব্যতিরেকে ঘোষণা করাতে এবং সম্ভব সমস্ত অনুমতি মঞ্জুর করতে পারে। আপনার কাছে অ্যান্ড্রয়েড ললিপপ বা অ্যান্ড্রয়েড পাই সহ কোনও ফোন আছে বা ফরচানাইট ইনস্টলার ইনস্টল করার পরে আপনি "অজানা উত্সগুলি" বন্ধ করেছেন কিনা তা বিবেচ্য নয় - আপনি এটি ইনস্টল করার সাথে সাথেই আপনার সম্ভাব্য আক্রমণ হতে পারে।

শোষণের জন্য গুগলের ইস্যু ট্র্যাকার পৃষ্ঠায় একটি দ্রুত স্ক্রিন রেকর্ডিং রয়েছে যা দেখায় যে কোনও ব্যবহারকারী গ্যালাক্সি অ্যাপস স্টোর থেকে এই ক্ষেত্রে ফর্টনাইট ইনস্টলার ইনস্টল করতে এবং সহজেই কীভাবে ইনস্টল করতে পারবেন এবং মনে করেন যে তারা দূষিত ডাউনলোড এবং ইনস্টল করার সময় ফরচেনাইট ডাউনলোড করছেন think অ্যাপ্লিকেশন, সম্পূর্ণ অনুমতি সহ - ক্যামেরা, অবস্থান, মাইক্রোফোন, এসএমএস, স্টোরেজ এবং ফোন - "ফোর্টনিট" নামে পরিচিত। এটি কয়েক সেকেন্ড সময় নেয় এবং ব্যবহারকারীর ইন্টারঅ্যাকশন হয় না।

হ্যাঁ, এটি বেশ খারাপ।

আপনি কীভাবে সুরক্ষিত তা নিশ্চিত করতে পারেন

শুকরিয়া, এপিক দ্রুত শোষণ ঠিক করার জন্য কাজ করেছিল। এপিকের মতে, শোষণটি অবহিত হওয়ার পরে 48 ঘন্টারও কম সময় স্থির করা হয়েছিল এবং পূর্বে ইনস্টল করা প্রতিটি ফোর্টনিট ইনস্টলারে স্থাপন করা হয়েছিল - ব্যবহারকারীদের কেবল ইনস্টলারটি আপডেট করা দরকার যা এটি এক-ট্যাপের বিষয়। ফোরনাাইট ইনস্টলার যে ফিক্সটি এনেছে সেটি হ'ল সংস্করণ ২.১.০, যা আপনি ফরচানাইট ইনস্টলার চালু করে এবং এর সেটিংসে গিয়ে পরীক্ষা করতে পারেন। আপনি যদি কোনও কারণে ফর্টনাইট ইনস্টলার এর পূর্ববর্তী সংস্করণটি ডাউনলোড করতে চান তবে এটি আপনাকে ফোরটাইট ইনস্টল করার আগে ২.১.০ (বা তারপরে) ইনস্টল করার অনুরোধ জানাবে।

আপনার যদি সংস্করণ ২.১.০ বা তার পরে রয়েছে তবে আপনি এই বিশেষ দুর্বলতা থেকে নিরাপদ।

এপিক গেমস ইনস্টলারটির ২.১.০ সংস্করণে এটি স্থির করা হয়েছে তা নিশ্চিত করার বাইরে এই দুর্বলতার বিষয়ে তথ্য প্রকাশ করেনি, তাই আমরা জানি না যে এটি বন্যের মধ্যে সক্রিয়ভাবে শোষণ করা হয়েছিল কি না। যদি আপনার ফোর্টনিট ইনস্টলারটি আপ টু ডেট থাকে তবে আপনি এখনও এই দুর্বলতার দ্বারা আক্রান্ত হয়েছিলেন কিনা তা নিয়ে আপনি এখনও চিন্তিত, আপনি ফোর্টনিট এবং ফোর্টনিট ইনস্টলারটি আনইনস্টল করতে পারেন, তারপরে আপনার ফোর্টনিট ইনস্টলেশনটি বৈধ কিনা তা নিশ্চিত করার জন্য আবার ইনস্টলেশন প্রক্রিয়াটি চালিয়ে যান। আশা করা যায় যে কোনও ম্যালওয়্যার ইনস্টল করা থাকলে এটি সনাক্ত করতে আপনি গুগল প্লে প্রোটেক্ট দিয়ে একটি স্ক্যানও চালাতে পারেন (এবং হওয়া উচিত)।

গুগলের একজন মুখপাত্র পরিস্থিতি সম্পর্কে নিম্নলিখিত মন্তব্য করেছিলেন:

ব্যবহারকারীর সুরক্ষা আমাদের শীর্ষ অগ্রাধিকার, এবং ম্যালওয়ারের জন্য আমাদের প্র্যাকটিভ পর্যবেক্ষণের অংশ হিসাবে আমরা ফর্টনাইট ইনস্টলারে একটি দুর্বলতা চিহ্নিত করেছি। আমরা সঙ্গে সঙ্গে এপিক গেমসকে অবহিত করেছি এবং তারা বিষয়টি ঠিক করেছে।

এপিক গেমস সিইও টিম সুইউয়ের নিম্নলিখিত মন্তব্য প্রদান করেছে:

এপিক অ্যান্ড্রয়েডে মুক্তির সাথে সাথেই ফোর্টনিটের গভীরতর সুরক্ষা নিরীক্ষণ করার গুগলের প্রয়াসকে সত্যই প্রশংসা করেছে এবং ফলাফলগুলি এপিকের সাথে ভাগ করে নেব যাতে আমরা তাদের ত্রুটিগুলি আবিষ্কার করার জন্য দ্রুততার সাথে একটি আপডেট দিতে পারি।

যাইহোক, গুগলের ত্রুটির প্রযুক্তিগত বিবরণগুলি এত তাড়াতাড়ি প্রকাশ্যে প্রকাশ করা দায়িত্বহীন ছিল, যদিও অনেকগুলি ইনস্টলেশন এখনও আপডেট হয়নি এবং এখনও দুর্বল ছিল।

একজন এপিক সিকিউরিটি ইঞ্জিনিয়ার, আমার তাগিদে, গুগল আপডেটটি আরও ব্যাপকভাবে ইনস্টল করার জন্য সময় দেওয়ার জন্য টিপিকাল 90 দিনের জন্য জনসাধারণের প্রকাশকে বিলম্ব করার অনুরোধ করে। গুগল অস্বীকার করেছে। আপনি এগুলি https://issuetracker.google.com/issues/112630336 এ পড়তে পারেন

গুগলের সুরক্ষা বিশ্লেষণের প্রচেষ্টার প্রশংসা করা হয়েছে এবং অ্যান্ড্রয়েড প্ল্যাটফর্মকে উপকৃত করা হয়েছে, তবে গুগলের মতো শক্তিশালী একটি সংস্থার চেয়ে এর চেয়ে আরও বেশি দায়িত্বশীল প্রকাশের সময়টি অনুশীলন করা উচিত এবং গুগল প্লে এর বাইরে এপিকের ফোর্টনাইট বিতরণ করার বিরুদ্ধে এর পিআর-পিআর প্রচেষ্টার ফলে ব্যবহারকারীদের বিপন্ন করা উচিত নয় ।

গুগল এপিকের মনে হাঙ্গর লাফিয়ে উঠতে পারে, তবে এই কর্মক্রমটি 0 দিনের দুর্বলতাগুলি প্রকাশের জন্য গুগলের নীতি পরিষ্কারভাবে অনুসরণ করেছিল।

আমরা এই প্রক্রিয়া থেকে কি শিখেছি

আমি বছরের পর বছর ধরে অ্যান্ড্রয়েড সেন্ট্রালটিতে যা বলা হয়েছে তার পুনরাবৃত্তি করব: কেবলমাত্র আপনার বিশ্বাস করা সংস্থা এবং বিকাশকারীদের অ্যাপ্লিকেশন ইনস্টল করা অবিশ্বাস্যরূপে গুরুত্বপূর্ণ। এটি যেমন খারাপ তেমনি খারাপ হিসাবে ব্যবহার করে, এখনও আপনার কাছে ফর্টনাইট ইনস্টলার ইনস্টল করা এবং আরও একটি ক্ষতিকারক অ্যাপ্লিকেশন থাকা দরকার যা আরও ক্ষতিকারক ম্যালওয়ার ডাউনলোড করার অনুরোধ জানাবে। ফোর্টনিটের ব্যাপক জনপ্রিয়তার সাথে এই চেনাশোনাগুলি ওভারল্যাপ হওয়ার বড় সম্ভাবনা রয়েছে তবে এটি আপনার হতে হবে না।

এটি হ'ল ধরণের দুর্বলতার জন্য আমরা চিন্তিত ছিলাম এবং এটি প্রথম দিন হয়েছিল।

প্লে স্টোরের বাইরে ফোর্টনিট ইনস্টল করার সিদ্ধান্ত নিয়ে শুরু থেকেই আমাদের উদ্বেগগুলির মধ্যে একটি ছিল যে গেমটির জনপ্রিয়তা লোকেদের অ্যাপ্লিকেশনের জন্য প্লে স্টোরের সাথে লেগে থাকার সাধারণ জ্ঞানের উপর নির্ভর করবে। এটি এমন এক ধরণের দুর্বলতা যা সম্ভবত প্লে স্টোরটিতে যাওয়ার পর্যালোচনা প্রক্রিয়ায় ধরা পড়বে এবং কোনও বিশাল সংখ্যক লোক এটি ডাউনলোড করার আগেই তা ঠিক হয়ে যাবে। এবং আপনার ফোনে গুগল প্লে প্রোটেক্টের সাহায্যে গুগল অ্যাপটিকে এটিকে বুনোভাবে তৈরি করে দিলে দূরবর্তীভাবে হত্যা করতে এবং আনইনস্টল করতে সক্ষম হবে।

এর অংশ হিসাবে, অ্যাপটি প্লে স্টোরের মাধ্যমে বিতরণ না করা সত্ত্বেও গুগল এখনও এই দুর্বলতা ধরতে সক্ষম হয়েছে। আমরা ইতিমধ্যে জানি যে গুগল প্লে প্রোটেক্ট আপনার ফোনে অ্যাপ্লিকেশনগুলি সরাসরি ওয়েব বা অন্য কোনও অ্যাপ স্টোর থেকে ইনস্টল করা থাকলেও স্ক্যান করতে সক্ষম হয় এবং এই ক্ষেত্রে সেই প্রক্রিয়াটি গুগলের প্রতিভাবান সুরক্ষা দল দ্বারা সমর্থিত হয়েছিল যা দুর্বলতা খুঁজে পেয়েছে এবং রিপোর্ট করেছে এটি ডেভেলপারের কাছে। এই প্রক্রিয়াটি সাধারণত খুব ধোঁকা ছাড়াই ব্যাকগ্রাউন্ডে ঘটে থাকে, তবে আমরা যখন কয়েক মিলিয়ন সংস্থাগুলি সহ ফোর্টনাইটের মতো একটি অ্যাপের কথা বলছি তখন এটি গুগল অ্যান্ড্রয়েডে সুরক্ষাকে কতটা গুরুত্ব সহকারে নেয় তা দেখায়।

আপডেট: এই নিবন্ধটি শোষণ সম্পর্কিত স্পষ্ট তথ্য এবং সেই সাথে এপিক গেমসের প্রধান নির্বাহী টিম সুইউনির একটি মন্তব্য সহ আপডেট করা হয়েছে।

খবর

সম্পাদকের পছন্দ