Logo bn.androidermagazine.com
Logo bn.androidermagazine.com
» মালপত্র
মালপত্র

আসুন ব্লুবোর্ন, সর্বশেষতম ব্লুটুথ দুর্বলতা সম্পর্কে কথা বলি

আসুন ব্লুবোর্ন, সর্বশেষতম ব্লুটুথ দুর্বলতা সম্পর্কে কথা বলি

সুচিপত্র:

Anonim

এই সপ্তাহের শুরুতে যখন আর্মিস সিকিউরিটি নতুন ব্লুটুথ শোষণের বিবরণ প্রকাশ করেছিল তখন আমরা শীতল এবং ভয়ানক কিছু দেখতে পেয়েছি (হ্যাঁ, এটি একই সাথে উভয় ক্ষেত্রেই হওয়া সম্ভব)। "ব্লুবার্ন" নামে অভিহিত হওয়া শোষণটি এমন ব্যক্তিকে মঞ্জুরি দেয় যাতে সঠিক সরঞ্জাম রয়েছে এবং যিনি আপনার স্মার্ট জিনিস - ল্যাপটপ, ফোন, গাড়ি বা অ্যান্ড্রয়েড চালিত যে কোনও কিছুর (পাশাপাশি আইওএস এবং অন্যান্য বেশিরভাগ অপারেটিং সিস্টেমের মধ্যে রয়েছে) উইন্ডোজ) - ব্যবহারকারীর কোনও পদক্ষেপ ছাড়াই ডিভাইসে নিয়ন্ত্রণ অর্জন করতে to

এর কারণ হ'ল ব্লুটুথ স্ট্যাকটি হাইজ্যাক করার জন্য একটি সংযোগ স্থাপনের জন্য প্রয়োজনীয় সফ্টওয়্যারটির চালনার সাথে চালিতভাবে চালিত করা হয়েছে, যেটি ব্লুটুথ কতটা জটিল এবং সর্বনিম্নভাবে স্ট্যাকটি ওএস হতে পারে এমন অনেকগুলি বিষয় হ্যান্ডেল করার কারণেই সার্বজনীন উপায়ে সম্পন্ন হয়েছে পরিবর্তে করছেন।

আগ্রহী এখনও? যদি না হয়, আপনি হওয়া উচিত।

আমরা আরও কিছু করার আগে, এখানে ভাল (ইশ) সংবাদটি রয়েছে: অ্যাপল, গুগল এবং মাইক্রোসফ্ট সকলেই শোষণকে ঠকিয়েছে। অ্যান্ড্রয়েডের পক্ষ থেকে, আমরা এই মাসের সুরক্ষা প্যাচটিকে ঠিক একই দিনে প্রকাশিত দুর্বলতাটিকে জনসমক্ষে প্রকাশ করার বিষয়টি দেখেছি। আমরা অবশ্যই এই সংস্থাপিত হওয়ার জন্য প্রতিদিন আমরা যে সফটওয়্যারটি ব্যবহার করি তারা লিখি এমন সংস্থাগুলির সাথে কাজ করার জন্য আর্মিসের পক্ষে এটি কোনও কাকতালীয় ঘটনা নয়। অবশ্যই, প্রায় প্রতিটি অ্যান্ড্রয়েড-চালিত ডিভাইসে এখনও এই প্যাচ নেই এবং কিছুক্ষণের জন্য নেই।

আমি এগুলি অ্যান্ড্রয়েডের আপডেটের সমস্যাগুলি এবং এটি ঘটে যাওয়ার মিলিয়ন-এক-এক ভিন্ন কারণে এই সমস্ত করার প্রলোভনটিকে প্রতিহত করব। আমি কেবল বলব যে আপনি যদি এইরকম সর্বাধিক দুর্বলতার বিরুদ্ধে সুরক্ষিত হওয়ার বিষয়টি মূল্যবান হন তবে আপনার কাছে বর্তমানে তিনটি বিকল্প রয়েছে: ব্ল্যাকবেরি থেকে একটি Android- চালিত ডিভাইস, গুগল থেকে সরাসরি একটি Android- চালিত ডিভাইস বা একটি আইফোন or আপনি এখানে সিদ্ধান্ত নেবেন।

পরিবর্তে ব্লুবার্ন কী এবং এটি কীভাবে হয় সে সম্পর্কে এবং সেই সাথে আপনি এটি সম্পর্কে কী করতে পারেন সে সম্পর্কে কথা বলি।

ব্লুবার্ন কী?

এটি বিশ্বের প্রায় প্রতিটি স্মার্ট ডিভাইসে চলমান ব্লুটুথ স্ট্যাকের বিভিন্ন অংশে একাধিক সহজ আক্রমণ। 2 বিলিয়ন অ্যান্ড্রয়েড ফোন সহ। এটি কোনও এমআইটিএম (ম্যান ইন দ্য মিডল) আক্রমণ নয়, যেখানে কেউ আপনার এবং যে জিনিসের সাথে আপনি সংযুক্ত রয়েছেন তার মধ্যে ব্লুটুথ ট্র্যাফিককে বাধা দেয়। পরিবর্তে, এটি এমন একটি ডিভাইস হিসাবে দেখানো হয়েছে যা ব্লুটুথের মাধ্যমে আবিষ্কার করতে এবং সংযোগ করতে চায় তবে সংযোগের প্রচেষ্টাটি এমন পর্যায়ে পৌঁছানোর আগে শোষণ ঘটে যা যেখানে ব্যবহারকারীর অভিনয় করা দরকার।

এই ধরণের লোকের জন্য, অ্যান্ড্রয়েডে কীভাবে শোষণ কাজ করে তার সংক্ষিপ্ত সংস্করণ হ'ল আক্রমণকারী একটি আবিষ্কারের ক্যোয়ারী প্রেরণ করে, তারপরে একই মেশিনে পৃথক পরিষেবা দেওয়ার জন্য দ্বিতীয় আবিষ্কারের ক্যোয়ারির টাইমস্ট্যাম্প এবং আকার উভয়ই ম্যানিপুলেট করে। এর ফলে বাফার আন্ডারফ্লো হয় এবং স্ট্যান্ডার্ড ব্লুটুথ সিকিউরিটি ম্যানেজমেন্ট প্রোটোকলকে ব্যর্থ করে "ব্যর্থ কাজ" সংযোগে ব্যর্থ হয়। এটি যে কাজ করে বলে মনে হয় পাগল, ততটা শোষণের ডিফল্ট ব্লুজেড স্ট্যাক সংস্করণ থেকে ভাল যা প্রতিটি সংযোগের চেককে বাইপাস করে স্ট্রেট-আপ বাফার ওভারফ্লো। আমি সেই অপারেটিং সিস্টেমগুলির জন্য শোষণ কোডটি বিশ্লেষণ করার জন্য উইন্ডোজ বা আইওএসের সাথে যথেষ্ট পরিচিত নই, তবে যদি আপনি খোলার অনুচ্ছেদে লিঙ্কটি আঘাত করেন এবং এটি পরীক্ষা করে দেখেন। তারপরে মন্তব্যগুলিতে আঘাত করুন এবং আমাদের সকলকে আরও ভালভাবে বুঝতে সহায়তা করুন।

আপনি যদি কোডটি অনুসন্ধান না করে থাকেন (এটি একটি বিশেষ ধরণের অসুস্থতা, আমি স্বীকার করি) সংক্ষিপ্ত সংক্ষিপ্ত সংস্করণ হ'ল যে কম্পিউটারের সাথে একটি ব্লুটুথ সংযোগ রয়েছে এমন কোনও ব্যক্তি টার্মিনালে কয়েকটি লাইন টাইপ করতে এবং আপনার ফোনে সংযোগ করতে পারে । তার বা তার সংযোগ স্থাপন করা কতটা সহজ তা হাস্যকর (আমরা পরে এটি কেন তা নিয়ে কথা বলব) এবং এই ধরণের জিনিসটির কেবল পাসিং জ্ঞান সহ যে কেউ এটি করতে পারে। এ কারণেই অ্যাপল, গুগল এবং মাইক্রোসফ্ট অভিনয় করতে সক্ষম না হওয়া পর্যন্ত আর্মিসের মুক্তির বিষয়টি গুরুত্বপূর্ণ ছিল।

ভীতিজনক অংশটি সংযোগটি তৈরি হওয়ার পরে কী ঘটে happens এমন কোনও গোপন যাদু অ্যাপ নেই যা আপনার ফোনকে মূলী করে এবং আপনার সমস্ত ডেটা হ্যাক করে। নিয়ন্ত্রণের সেই স্তরটি পাওয়া থেকে কোনও প্রক্রিয়া রোধ করা খুব সহজ এবং কোনও প্রক্রিয়াটিতে সেই স্তরের অ্যাক্সেস না থাকলে অনুমতিগুলি এটিকে ঘটতে বাধা দেয়। পরিবর্তে, একজন আক্রমণকারী লগ ইন করা ব্যবহারকারী হিসাবে কাজ করতে পারে। এটাই তুমি

8 বিলিয়ন ডিভাইসগুলির সাথে সংযোগ স্থাপন করা দরকার, যারা ডেটা চুরি করতে চান তাদের জন্য ব্লুটুথ একটি বড় লক্ষ্য।

উপরের উদাহরণের ভিডিওতে আমরা দেখছি যে আক্রমণকারী একটি ঘুমন্ত পিক্সেলের সাথে একটি ব্লুটুথ মাউস সংযোগ স্থাপন করছে, তারপরে আপনি যদি এটি আপনার হাতে ধরে রাখেন তবে আপনি যা করতে পারেন একই কাজগুলি করে। অ্যাপ্লিকেশনগুলি শুরু করা যায়, ছবি, ভিডিও এবং অডিও রেকর্ড করা যায় এবং আপনার ফাইলগুলি সরাসরি আক্রমণকারীর কম্পিউটারে ডাউনলোড করা যায়। "থামো, এটি দুর্দান্ত নয়" বলার মতো আপনার ফোনে কিছুই নেই - কারণ এটি দুর্দান্ত - এবং আপনার কোনও ডেটাই নিরাপদ নয়। আক্রমণকারী যদি কোনও স্যান্ডবক্সযুক্ত ডিরেক্টরি অ্যাক্সেস করতে অক্ষম হয় তবে তিনি বা সে কেবল সম্পর্কিত অ্যাপটি খুলতে এবং চলমান অবস্থায় পর্দায় যা আছে তার চিত্রগুলি টানতে পারবেন।

এই সমস্ত হতাশার অংশটি কেন এটি কাজ করে। আমি কীভাবে স্ট্যাকটি শোষণ করা হয় এবং কেউ তাদের পথে ক্র্যাশ হয় সে সম্পর্কে আমি বলছি না, আমি কেন এর অর্থ বৃহত্তর অর্থে করছি। নিরাপত্তা তদারকি করা বিশেষজ্ঞরা অপারেটিং সিস্টেম থেকে এই ধরণের জিনিস লেখার ক্ষেত্রে এই প্রতিরোধযোগ্য কিছু কেন পিছলে যেতে পেরেছিলেন? এবং উত্তরটি হ'ল এটি ঘটেছে কারণ ব্লুটুথ একটি দৈত্য, জটিল জগাখিচুড়ি।

এটি ব্লুটুথ সিগের (বিশেষ আগ্রহী গোষ্ঠী) ত্রুটি নয়, এমনকি যদি শেষ পর্যন্ত এটিকে মোকাবেলা করার দায়িত্ব তাদেরই হয়। একটি সাধারণ স্বল্প-পরিসরের ওয়্যারলেস সংযোগ হিসাবে 1998 সালে ব্লুটুথ শুরু হয়েছিল। এটি এখন বিশ্বব্যাপী 8 বিলিয়নেরও বেশি ডিভাইসে রয়েছে এবং বৈশিষ্ট্য এবং জটিলতায় বেড়ে ওঠে। এবং এটি পশ্চাদপটে সামঞ্জস্যপূর্ণ হতে হবে, তাই উন্নত সংযোগ সুরক্ষা মানদণ্ডের মতো জিনিসগুলির ক্ষেত্রে এর অংশগুলি যেমন হয় তেমন ছেড়ে দিতে হয়। যদি কোনও এনক্রিপ্ট করা জোড়-কী সংযোগ স্থাপন করা না যায়, তবে এটির চেয়ে কম সুরক্ষিত কিছু চেষ্টা করতে হবে এবং এটি সংযোগ না হওয়া অবধি চেষ্টা চালিয়ে যেতে হবে, চেষ্টা করার উপায় ছাড়ছে না বা সুরক্ষা ব্যবস্থাপনার বৈশিষ্ট্যগুলি এটিকে থামতে বলবে। এসএমপি স্তরটি অনুসন্ধান করুন এবং আপনি প্রবেশ করুন। এবং নতুন বৈশিষ্ট্যগুলি নতুন সংস্করণগুলিতে যুক্ত হওয়ার সাথে সাথে এটি আরও খারাপ হয়।

মালিকানাধীন সফ্টওয়্যারটিতেও রয়েছে শোষণ। অনেক দেরি না হওয়া পর্যন্ত আমরা তাদের সম্পর্কে জানি না।

একটি অপারেটিং সিস্টেম লেখার লোক এবং সুরক্ষা দল যার কাজটি এটি ভেঙে ফেলা হয়েছে তারা সকলেই এখানেও দায়িত্বের অংশ নেবে। এখানে সমস্যাটি হ'ল তারা ব্লুটুথ স্ট্যাকের অসম্ভব জটিল কোড নিয়ে কাজ করছে এবং তারা যখন এটিকে একটি জিনিসের সাথে প্যাচ করার চেষ্টা করতে ব্যস্ত থাকে তখন অন্য জিনিসগুলিও ব্যবহার করা যেতে পারে। অ্যাপল এবং মাইক্রোসফ্টের মতো গুগল লিনাক্সের জন্য "ডিফল্ট" ব্লুটুথ বাস্তবায়নের খুব ভাল পরিবর্তন করেছে। আপনি যে জিনিসগুলি ব্যবহার করেন সেগুলি মাঝারি আক্রমণে থাকা কোনও ব্যক্তির মতো বা ব্লুটুথের মাধ্যমে প্রশাসকের অনুমতি পাওয়ার কোনও উপায়ের থেকে সুরক্ষিত। এর কারণ এটি Bluetoothতিহ্যগতভাবে ব্লুটুথ শোষণের পদ্ধতি ছিল এবং এটি হওয়ার থেকে রোধ করার জন্য সর্বদা প্রচুর কাজ রয়েছে।

অবশেষে, ওপেন-সোর্স কোডটি দুর্দান্ত কেন এটির একটি দুর্দান্ত উদাহরণ। আর্মিসের গবেষকরা এই শোষণটি সন্ধান করতে পেরেছিলেন, এটি ঠিক কীভাবে কাজ করে তা দেখতে এবং ঠিক কীভাবে এটি প্যাচ করবেন তা নির্ধারণ করতে পারে কারণ তাদের কোডটিতেই অ্যাক্সেস রয়েছে। অ্যাপল এবং মাইক্রোসফ্ট কোনও সম্পূর্ণ ওপেন সোর্স ব্লুটুথ স্ট্যাক ব্যবহার না করার পরে, তাদের সংস্করণটি কীভাবে প্যাচ করবে তা তারা ঠিক জানত। যদি জড়িত প্রতিটি সংস্থা বন্ধ মালিকানা কোড ব্যবহার করে তবে এই শোষণটি এখনও বিদ্যমান থাকবে, তবে আমরা এটি সম্পর্কে জানতাম না যতক্ষণ না এটি বেশি দেরী হয়ে যায় এবং অন্যান্য লোকেরাও এটি সম্পর্কে জানত না।

এটি সম্পর্কে আপনার কি করা উচিত?

এটি পড়ার প্রতিটি ব্যক্তির কাছে সম্ভবত এক বা একাধিক ব্লুটুথ ডিভাইস রয়েছে। আপনার ঘড়ি, আপনার ফোন, আপনার ল্যাপটপ, আপনার টিভি এবং তালিকাটি চালিয়ে যেতে পারে; ব্লুটুথ সর্বত্র এবং প্রায় সব কিছুতে। এর অর্থ আপনার ফোনে ব্লুটুথ সক্ষম হওয়ার সম্ভাবনা রয়েছে এবং যদি আপনার ফোনটি এখনও অনুপম থেকে থাকে তবে এটির জন্য এটি কেবল দুর্বল হয়ে পড়ে।

এখানে সঞ্চয় অনুগ্রহটি হ'ল ব্লুটুথ একটি স্বল্প-পরিসীমা সংযোগের মান। ব্লুটুথ 5 সীমা বাড়ানোর বিষয়ে কাজ করছে, তবে আপনি সংকেতটি খারাপ হওয়ার আগে প্রায় 30 ফুট সীমাবদ্ধ to এর অর্থ আপনি যখন নিজের ফোনে toোকার চেষ্টা করছেন তার 30 ফিটের মধ্যেই আপনি তখন সত্যিই ঝুঁকির মধ্যে রয়েছেন।

ব্লুটুথের স্বল্প পরিসীমাটির অর্থ একটি আক্রমণকারী আপনার ব্লুবার্ন শোষণ ব্যবহার করতে পারে।

এবং এই শোষণটি যেভাবে কাজ করে তা ভীতিজনক, তবে এর অর্থ এটিও আপনি সম্ভবত এটি লক্ষ্য করছেন। যদি আপনার ফোনটি ঘুমিয়ে থাকে এবং লক থাকে তবে কোনও আক্রমণকারী এখনও সংযোগ করতে পারে। তবে যত তাড়াতাড়ি তারা আপনার স্টাফ অ্যাক্সেস করার বা কৌতুকপূর্ণ হওয়ার এবং নিয়ন্ত্রণ নেওয়ার চেষ্টা করার সাথে সাথে স্ক্রিনটি আলোকিত হবে এবং তাদের ফোন আনলক করা দরকার। আপাতত, কমপক্ষে। এক মিনিটের জন্যও ভাবেন না যে লোকেরা এহেতু এইভাবে কোনও পথে কাজ করছে না। এবং তারা এটি খুঁজে পেতে হবে।

আমি আপনাকে আপনার স্মার্টওয়াচ বা আপনার পছন্দসই ব্লুটুথ হেডসেটটি ব্যবহার বন্ধ করতে এবং স্থায়ীভাবে ব্লুটুথ বন্ধ করার পরামর্শ দিচ্ছি না। তবে আমরা প্যাচের জন্য অপেক্ষা করার সময় ব্লুটুথের মাধ্যমে কারও পক্ষে প্রবেশ করা আরও কঠিন করে তুলতে আমরা কয়েকটি জিনিস করতে পারি। এবং আবারও - যদি আপনার ফোনে সেপ্টেম্বর 2017 সুরক্ষা প্যাচ থাকে তবে আপনি সুরক্ষিত

  • আপনি যখন এটি ব্যবহার করবেন না তখন ব্লুটুথ বন্ধ করুন। আপনি সম্ভবত বাড়িতে বা কর্মক্ষেত্রে নিরাপদ তবে আপনার যখন প্রয়োজন হবে না তখন আপনি যদি ব্লুটুথ বন্ধ করার অভ্যাসে চলে যান আপনি পরের বার স্টারবাকসে যাওয়ার সময়টি ভুলে যাবেন না। আক্রমণকারীটির ব্লুটুথ চালু করার কোনও উপায় নেই। আপাতত এখন না.
  • আপনার কাছে সুরক্ষিত লক স্ক্রিন রয়েছে তা নিশ্চিত করুন। ডেড স্টপ। আপনার যদি ইতিমধ্যে কোনও পাসওয়ার্ড, পিন, প্যাটার্ন, আঙ্গুলের ছাপ বা অন্য কোনও সেট আপ না থাকে তাই আপনি নিজের ফোনটি আনলক না করা পর্যন্ত আপনার ফোনটি লক হয়ে যায়, এখনই এটি করুন।
  • বিশ্বস্ত ডিভাইসগুলি থাকাকালীন বন্ধ করুন। নতুন ক্রেডিট কার্ড পাওয়ার আগে এবং একবারে একবারে আপনার ব্যাঙ্কের সাথে কথা বলার চেয়ে 4-সংখ্যার পিনে আলতো চাপুন বা আপনার আইবোলগুলি স্ক্যান করা আরও সুবিধাজনক। বিশ্বাস করুন, আমি সেখানে এসেছি। (ধন্যবাদ, লক্ষ্য। ইডিয়টস, আমি দিব্যি।)
  • আপনার ফোনটি বিনা বাধায় ফেলে রাখবেন না। এটিকে আপনার পকেটে বা পার্সে রাখুন এবং আপনার সাথে কেবল এক-দু'মিনিটি দূরে সরে গেলেও এটি আপনার সাথে নিয়ে যান।
  • আপনি যদি স্ক্রিনটি চালু দেখতে পান তবে কেন তা দেখুন। এটি শোষণের বৃহত্তম "ত্রুটি"; এটি সংযুক্ত হওয়ার পরে যদি কেউ কিছু করার চেষ্টা করে তবে এটি আপনার স্ক্রিনটি চালু করবে।
  • আপনি যখন যে ফোনটি কিনেছিলেন তখন আপনি যে সংস্থাকে অর্থ দিয়েছেন তা জিজ্ঞাসা করুন যখন আপনার এটি ঠিক করার জন্য কোনও আপডেটের আশা করা উচিত। সুন্দরভাবে জিজ্ঞাসা করলে এটি জানতে দেয় যে আপনি এটি সম্পর্কে যত্নশীল হন এবং যখন পর্যাপ্ত লোক দেখায় তারা যত্নশীল কোনও সংস্থা যত্ন নেওয়ার সিদ্ধান্ত নেবে। এই প্যাচটি অ্যান্ড্রয়েড ৪.৪ এবং এর চেয়ে বেশি চলমান প্রতিটি ফোনের জন্য উপলব্ধ।

রাস্তায় ল্যাপটপ এবং মাউন্টেন শিশির সজ্জিত লোকদের একটি বাহিনী সম্ভবত নেই, যারা ব্লুটুথের মাধ্যমে "সমস্ত ফোন" হ্যাক করতে প্রস্তুত। তবে সেখানে একজন লোক থাকতে পারে এবং সে ম্যাকডোনাল্ডস বা লাইব্রেরিতে বা অন্য কোথাও থাকতে পারে। এই জাতীয় ক্ষেত্রে, নিরাপদে থাকা সবসময় ভাল কারণ আমরা যে জিনিসগুলি করতে পারি তা বেশ সহজ।

আপনার জিনিস এটি মূল্যবান।

মালপত্র

সম্পাদকের পছন্দ