!['ফেক আইডি' এবং অ্যান্ড্রয়েড সুরক্ষা [আপডেট]](https://img.androidermagazine.com/img/software/771/fake-idand-android-security.jpg "'ফেক আইডি' এবং অ্যান্ড্রয়েড সুরক্ষা [আপডেট]")
সুচিপত্র:
আজ সুরক্ষা গবেষণা সংস্থা ব্লুবক্স - একই সংস্থা যা তথাকথিত অ্যান্ড্রয়েড "মাস্টার কী" দুর্বলতা উন্মোচিত করেছে - অ্যাপ্লিকেশনগুলিতে স্বাক্ষর করতে ব্যবহৃত পরিচয় শংসাপত্রগুলি যেভাবে অ্যান্ড্রয়েডকে পরিচালনা করে তা একটি বাগ আবিষ্কার করার ঘোষণা দিয়েছে। ব্লুবক্স "ফেক আইডি" নামে অভিহিত এই দুর্বলতা দূষিত অ্যাপ্লিকেশনগুলিকে বৈধ অ্যাপ্লিকেশনগুলির সাথে শংসাপত্রের সাথে নিজেকে যুক্ত করতে দেয়, ফলে তাদের যে অ্যাক্সেস না করা উচিত সেগুলিতে অ্যাক্সেস পাওয়া যায়।
সুরক্ষা দুর্বলতাগুলির মতো এই শব্দটি ভীতিজনক এবং আমরা এই গল্পটি ভাঙ্গার সাথে সাথে ইতিমধ্যে আজ থেকে এক বা দুটি হাইপারবোলিক শিরোনাম দেখেছি। তবুও, কোনও বাগ যা অ্যাপ্লিকেশনগুলিকে এমনটি করতে দেয় যা তাদের মনে করা হয় না এটি একটি গুরুতর সমস্যা। সুতরাং সংক্ষেপে কী ঘটছে, অ্যান্ড্রয়েড সুরক্ষার জন্য এটি কী বোঝায় এবং এটি উদ্বেগজনক কিনা তা …
আপডেট: আমরা গুগল থেকে নিশ্চিতকরণ প্রতিবিম্বিত করতে এই নিবন্ধটি আপডেট করেছি যে ফেইক আইডি বাগটি সম্বোধন করতে প্লে স্টোর এবং "যাচাইকরণ অ্যাপস" বৈশিষ্ট্য দুটিই সত্যই আপডেট হয়েছে updated এর অর্থ নিবন্ধে পরে আলোচনা করা সক্রিয় গুগল অ্যান্ড্রয়েড ডিভাইসগুলির সিংহভাগ এই ইস্যু থেকে ইতিমধ্যে কিছু সুরক্ষা পেয়েছে। গুগলের সম্পূর্ণ বিবৃতি এই পোস্টের শেষে পাওয়া যাবে।
সমস্যা - ডজি সার্টিফিকেট
'ফেক আইডি' অ্যান্ড্রয়েড প্যাকেজ ইনস্টলারে বাগ থেকে এসেছে ste
ব্লুবক্সের মতে, অ্যান্ড্রয়েড প্যাকেজ ইনস্টলারের কোনও সমস্যা থেকে দুর্বলতা দেখা দিয়েছে, ওএসের সেই অংশ যা অ্যাপ্লিকেশনগুলির ইনস্টলেশন পরিচালনা করে। প্যাকেজ ইনস্টলারটি আপাতদৃষ্টিতে ডিজিটাল শংসাপত্রের "চেইন" এর সত্যতা যথাযথভাবে যাচাই করে না, এটি কোনও বিশ্বস্ত পক্ষ দ্বারা জারি করা হয়েছে এমন দূষিত শংসাপত্র দাবি করার অনুমতি দেয়। এটি একটি সমস্যা কারণ নির্দিষ্ট কিছু ডিজিটাল স্বাক্ষর অ্যাপ্লিকেশনগুলিকে কিছু ডিভাইস ফাংশনগুলিতে সুবিধাজনক অ্যাক্সেস সরবরাহ করে। উদাহরণস্বরূপ, অ্যান্ড্রয়েড ২.২-৪.৩ এর সাহায্যে অ্যাডোবের স্বাক্ষরযুক্ত অ্যাপ্লিকেশনগুলিকে ওয়েবভিউ সামগ্রীতে বিশেষ অ্যাক্সেস দেওয়া হয় - অ্যাডোব ফ্ল্যাশ সমর্থনের একটি প্রয়োজনীয়তা যে অপব্যবহার করলে সমস্যা হতে পারে। একইভাবে, এনএফসি-র মাধ্যমে সুরক্ষিত অর্থপ্রদানের জন্য ব্যবহৃত হার্ডওয়্যারটিতে বিশেষাধিকার প্রাপ্ত কোনও অ্যাপ্লিকেশনটির স্বাক্ষরের ভণ্ডামি দূষিত অ্যাপটিকে সংবেদনশীল আর্থিক তথ্যকে বাধা দিতে পারে।
আরও উদ্বেগজনকভাবে, একটি দূষিত শংসাপত্রটি 3LM এর মতো নির্দিষ্ট দূরবর্তী ডিভাইস পরিচালন সফ্টওয়্যারটির ছদ্মবেশে ব্যবহার করতে পারে যা কিছু নির্মাতারা ব্যবহার করে এবং কোনও ডিভাইসে ব্যাপক নিয়ন্ত্রণ দেয়।
ব্লুবক্স গবেষক জেফ ফরিস্টাল যেমন লিখেছেন:
"অ্যাপ্লিকেশন স্বাক্ষরগুলি অ্যান্ড্রয়েড সুরক্ষা মডেলটিতে একটি গুরুত্বপূর্ণ ভূমিকা পালন করে An একটি অ্যাপ্লিকেশন এর স্বাক্ষরটি প্রয়োগ করে যে অ্যাপ্লিকেশনটি আপডেট করতে পারে, কোন অ্যাপ্লিকেশনগুলি এর ডেটা ভাগ করতে পারে ইত্যাদি function কার্যকারিতার অ্যাক্সেসের জন্য প্রবেশাধিকারের জন্য ব্যবহৃত কিছু অনুমতি, কেবলমাত্র অ্যাপ্লিকেশনগুলির দ্বারা ব্যবহারযোগ্য অনুমতি স্রষ্টার মতো একই স্বাক্ষর More আরও মজার বিষয় হল খুব নির্দিষ্ট স্বাক্ষরগুলিকে নির্দিষ্ট ক্ষেত্রে বিশেষ সুযোগ দেওয়া হয়।"
অ্যাডোব / ওয়েবভিউ ইস্যুটি অ্যান্ড্রয়েড ৪.৪-কে প্রভাবিত করে না (কারণ ওয়েবভিউটি এখন ক্রোমিয়ামের উপর নির্ভরশীল, যার একই অ্যাডোব হুক নেই), অন্তর্নিহিত প্যাকেজ ইনস্টলার বাগটি সম্ভবত দৃশ্যমানভাবে কিটকাটের কিছু সংস্করণকে প্রভাবিত করে। অ্যান্ড্রয়েড সেন্ট্রাল গুগলকে দেওয়া এক বিবৃতিতে বলেছে, "এই দুর্বলতার কথা পাওয়ার পরে আমরা দ্রুত একটি প্যাচ জারি করেছি যা অ্যান্ড্রয়েড অংশীদারদের পাশাপাশি অ্যান্ড্রয়েড ওপেন সোর্স প্রকল্পে বিতরণ করা হয়েছিল।"
গুগল বলছে যে বুনোতে 'নকল আইডি' ব্যবহার করা হচ্ছে এমন কোনও প্রমাণ নেই।
এপ্রিল মাসে গুগলকে জানিয়েছে যে ব্লুবক্স জানিয়েছে, এটি সম্ভবত কোনও ফিক্স অ্যান্ড্রয়েড ৪.৪.৩ এ অন্তর্ভুক্ত থাকবে এবং সম্ভবত ইএমএস থেকে প্রায় ৪.৪.২-ভিত্তিক সুরক্ষা প্যাচ রয়েছে। (এই কোডটি প্রতিশ্রুতি দেখুন - ধন্যবাদ অনন্ত শ্রীবাস্তব।) ব্লুবক্সের নিজস্ব অ্যাপ্লিকেশন দিয়ে প্রাথমিক পরীক্ষায় দেখা যায় যে ইউরোপীয় এলজি জি 3, স্যামসাং গ্যালাক্সি এস 5 এবং এইচটিসি ওয়ান এম 8 জাল আইডি দ্বারা প্রভাবিত নয়। কোন অন্যান্য ডিভাইস আপডেট হয়েছে তা সন্ধানের জন্য আমরা বড় অ্যান্ড্রয়েড OEM গুলি পৌঁছেছি।
ফেক আইডি ভ্যালনের স্পেসিফিকেশন সম্পর্কে, ফরিস্টাল বলেছেন যে ২ আগস্ট লাস ভেগাসে ব্ল্যাক হ্যাট সম্মেলনে তিনি আরও কিছু প্রকাশ করবেন। বিবৃতিতে গুগল জানিয়েছে যে এটি তার প্লে স্টোরের সমস্ত অ্যাপ্লিকেশন স্ক্যান করেছে এবং কিছু হোস্ট করেছে অন্যান্য অ্যাপ স্টোরগুলিতে, এবং কোনও প্রমাণই পাওয়া যায় নি যে শোষণটি বাস্তব বিশ্বে ব্যবহৃত হচ্ছে।
সমাধান - গুগল প্লে সহ অ্যান্ড্রয়েড বাগগুলি ঠিক করা
প্লে পরিষেবাদির মাধ্যমে গুগল বেশিরভাগ সক্রিয় অ্যান্ড্রয়েড ইকোসিস্টেম জুড়ে এই বাগটিকে কার্যকরভাবে কার্যকর করতে পারে।
ফেক আইডি একটি গুরুতর সুরক্ষিত দূর্বলতা যা সঠিকভাবে লক্ষ্যবস্তু করা হলে আক্রমণকারীকে মারাত্মক ক্ষতি করতে দেয়। এবং অন্তর্নিহিত বাগটি সম্প্রতি সম্প্রতি এওএসপিতে সম্বোধন করা হয়েছে বলে মনে হতে পারে যে অ্যান্ড্রয়েড ফোনগুলির সিংহভাগই আক্রমণ করার জন্য উন্মুক্ত, এবং ভবিষ্যতের জন্য তা থেকে যাবে। যেমনটি আমরা আগেও আলোচনা করেছি যে বিলিয়ন বা তত অ্যাক্টিভ অ্যান্ড্রয়েড ফোন আপডেট হওয়ার কাজটি একটি বিশাল চ্যালেঞ্জ, এবং "ফ্র্যাগমেন্টেশন" এমন একটি সমস্যা যা অ্যান্ড্রয়েডের ডিএনএতে তৈরি। গুগলের এই জাতীয় সুরক্ষা সম্পর্কিত সমস্যাগুলি মোকাবেলা করার জন্য একটি ট্রাম্প কার্ড রয়েছে - গুগল প্লে পরিষেবাদি।
প্লে সার্ভিস যেমন ফার্মওয়্যার আপডেটের প্রয়োজন ছাড়াই নতুন বৈশিষ্ট্য এবং এপিআই যুক্ত করে, তেমনি এটি সুরক্ষা গর্তগুলি প্লাগ করতেও ব্যবহার করা যেতে পারে। কিছু সময় আগে গুগল প্লে পরিষেবাগুলিতে কোনও অ্যাপ্লিকেশন ইনস্টল হওয়ার আগে স্ক্যান করার উপায় হিসাবে Google Play পরিষেবাদিতে একটি "যাচাই করা অ্যাপ্লিকেশন" বৈশিষ্ট্য যুক্ত করেছে। আরও কি, এটি ডিফল্টরূপে চালু হয়। অ্যান্ড্রয়েড ৪.২ এবং তারপরে এটি সেটিংস> সুরক্ষা; পুরানো সংস্করণে আপনি এটি Google সেটিংস> অ্যাপ্লিকেশন যাচাই করুন এর আওতায় পাবেন। সুন্দর পিচাই যেমন গুগল আই / ও ২০১৪ তে বলেছিলেন, সক্রিয় ব্যবহারকারীদের মধ্যে 93 শতাংশ গুগল প্লে পরিষেবাদির সর্বশেষতম সংস্করণে রয়েছে। এমনকি আমাদের প্রাচীন এলজি অপ্টিমাস ভু, অ্যান্ড্রয়েড 4.0.০.৪ আইসক্রিম স্যান্ডউইচ চালিয়ে ম্যালওয়্যার থেকে রক্ষা পাওয়ার জন্য প্লে পরিষেবাদি থেকে "যাচাই অ্যাপস" বিকল্প রয়েছে"
গুগল অ্যান্ড্রয়েড সেন্ট্রালকে নিশ্চিত করেছে যে ব্যবহারকারীদের এই সমস্যা থেকে রক্ষা করতে "অ্যাপ্লিকেশন যাচাই করুন" বৈশিষ্ট্য এবং গুগল প্লে আপডেট করা হয়েছে। প্রকৃতপক্ষে, এর মতো অ্যাপ-স্তরের সুরক্ষা বাগগুলি হ'ল "যাচাই করা অ্যাপ্লিকেশনগুলি" বৈশিষ্ট্যটি ডিল করার জন্য ডিজাইন করা হয়েছে। এটি গুগল প্লে পরিষেবাগুলির একটি আধুনিক সংস্করণ চালিত যে কোনও ডিভাইসে ফেক আইডির প্রভাবকে উল্লেখযোগ্যভাবে সীমাবদ্ধ করে - সমস্ত অ্যান্ড্রয়েড ডিভাইসগুলি ঝুঁকিপূর্ণ থেকে দূরে, প্লে সার্ভিসের মাধ্যমে ফেক আইডিকে সম্বোধন করার গুগলের পদক্ষেপটি সমস্যাটি প্রকাশ্যে আসার আগেই এটি কার্যকরভাবে নিরপেক্ষ করেছে জ্ঞান.
যখন ব্লগ হ্যাটে বাগের তথ্য পাওয়া যায় তখন আমরা আরও জানব। গুগলের অ্যাপ ভেরিফায়ার এবং প্লে স্টোর যেহেতু ফেক আইডি ব্যবহার করে অ্যাপ্লিকেশনগুলি ধরতে পারে, তাই ব্লুবক্সের দাবি যে "জানুয়ারী 2010 থেকে সমস্ত অ্যান্ড্রয়েড ব্যবহারকারীরা" ঝুঁকিতে রয়েছে বলে মনে হচ্ছে অতিরঞ্জিত। (স্বীকার করা সত্ত্বেও, অ্যান্ড্রয়েডের একটি নন-গুগল-অনুমোদিত সংস্করণ সহ একটি ডিভাইস চালিত ব্যবহারকারীরা আরও দৃ situation় পরিস্থিতিতে রয়েছেন))
প্লে সার্ভিসেসকে গেটকিপার হিসাবে কাজ করতে দেওয়া একটি স্টপগ্যাপ সমাধান, তবে এটি বেশ কার্যকর।
নির্বিশেষে, এপ্রিল থেকে গুগল ফেক আইডি সম্পর্কে সচেতন ছিল এ বিষয়টি যে শোষণ ব্যবহার করে কোনও অ্যাপ্লিকেশন ভবিষ্যতে প্লে স্টোরের মধ্যে এটিকে তৈরি করবে না এমন সম্ভাবনা খুব কম। বেশিরভাগ অ্যান্ড্রয়েড সুরক্ষা ইস্যুগুলির মতো, ফেক আইডি মোকাবেলার সবচেয়ে সহজ এবং কার্যকর উপায় হ'ল আপনি নিজের অ্যাপ্লিকেশনগুলি কোথা থেকে পাবেন সে সম্পর্কে স্মার্ট হওয়া।
নিশ্চিতভাবেই, দুর্বলতাটিকে শোষণ করা থেকে বিরত করা একে একে পুরোপুরি বাদ দেওয়ার মতো নয়। একটি আদর্শ বিশ্বে গুগল প্রতিটি অ্যান্ড্রয়েড ডিভাইসে একটি ওভার-দ্য এয়ার আপডেটকে ধাক্কা দিতে সক্ষম হবে এবং অ্যাপলের মতোই সমস্যাটি চিরতরে দূর করতে সক্ষম হবে। প্লে সার্ভিস এবং প্লে স্টোরকে গেটকিপার হিসাবে কাজ করা দেওয়া একটি স্টপগ্যাপ সমাধান, তবে অ্যান্ড্রয়েড ইকোসিস্টেমের আকার এবং প্রসারিত প্রকৃতির ভিত্তিতে এটি বেশ কার্যকর।
এটি ঠিক করে না যে অনেক নির্মাতারা এখনও ডিভাইসগুলিতে বিশেষত কম পরিচিত-তাত্পর্যপূর্ণ গুরুত্বপূর্ণ আপডেটগুলি ধাক্কা দিতে খুব বেশি সময় নেয়, কারণ এর মতো বিষয়গুলি হাইলাইট হয়। তবে এটি কিছুই না থেকে অনেক ভাল।
সুরক্ষার সমস্যা সম্পর্কে সচেতন হওয়া গুরুত্বপূর্ণ, বিশেষত যদি আপনি কোনও প্রযুক্তি-বুদ্ধিমান অ্যান্ড্রয়েড ব্যবহারকারী হন - নিয়মিত লোকেরা যখন তাদের ফোনে কোনও সমস্যা হয় তখন সাহায্যের জন্য সরে যায়। তবে বিষয়গুলিকে দৃষ্টিভঙ্গিতে রাখাই ভাল ধারণা এবং এটি মনে রাখবেন যে এটি কেবল দুর্বলতা যা গুরুত্বপূর্ণ তা নয়, সম্ভাব্য আক্রমণকারী ভেক্টরও। গুগল নিয়ন্ত্রিত বাস্তুতন্ত্রের ক্ষেত্রে, প্লে স্টোর এবং প্লে পরিষেবাদি দুটি শক্তিশালী সরঞ্জাম যার সাহায্যে গুগল ম্যালওয়্যার পরিচালনা করতে পারে।
তাই নিরাপদে থাকুন এবং স্মার্ট থাকুন। প্রধান অ্যান্ড্রয়েড OEM গুলি থেকে আমরা ফেক আইডিতে আরও কোনও তথ্য সহ আপনাকে পোস্ট করব।
আপডেট: গুগলের একজন মুখপাত্র নিম্নলিখিত বিবৃতি সহ অ্যান্ড্রয়েড সেন্ট্রাল সরবরাহ করেছেন:
"আমরা ব্লুবক্সকে দায়বদ্ধভাবে আমাদের এই দুর্বলতার প্রতিবেদন করার জন্য প্রশংসা করি; তৃতীয় পক্ষের গবেষণাগুলি ব্যবহারকারীদের জন্য অ্যান্ড্রয়েডকে আরও শক্তিশালী করার একটি উপায় ility এই দুর্বলতার কথাটি পাওয়ার পরে আমরা দ্রুত একটি প্যাচ জারি করি যা অ্যান্ড্রয়েড অংশীদারদের, পাশাপাশি এওএসপিকে বিতরণ করা হয়েছিল issued এই সমস্যা থেকে ব্যবহারকারীদের সুরক্ষার জন্য গুগল প্লে এবং যাচাই করা অ্যাপ্লিকেশনগুলিও উন্নত করা হয়েছে At এই সময়ে, আমরা গুগল প্লেতে জমা দেওয়া সমস্ত অ্যাপ্লিকেশন এবং সেইসাথে গুগল গুগল প্লে বাইরে থেকে পর্যালোচনা করেছে এবং আমরা চেষ্টা করার কোন প্রমাণ দেখতে পাইনি scan এই দুর্বলতার শোষণ"
সনি আমাদের এটিও জানিয়েছে যে এটি তার ডিভাইসে ফেক আইডি ফিক্সটি চাপিয়ে দেওয়ার বিষয়ে কাজ করছে।
