সুচিপত্র:
- স্টেজফ্রাইট কী?
- আগস্ট 17-18: শোষিত রয়ে গেছে?
- আগস্ট 5 পর্যন্ত নতুন স্টেজফ্রাইটের বিশদ
- কে এই শোষণ খুঁজে পেল?
- এই শোষণ কত ব্যাপক?
- তাহলে আমার কি স্টেজফ্রেট নিয়ে চিন্তা করা উচিত?
- স্টেজফ্রাইট ঠিক করার আপডেটগুলি সম্পর্কে কী?
জুলাই ২০১৫ সালে, সুরক্ষা সংস্থা জিম্পেরিয়াম ঘোষণা করেছিল যে এটি অ্যান্ড্রয়েড অপারেটিং সিস্টেমের মধ্যে দুর্বলতার একটি "ইউনিকর্ন" আবিষ্কার করেছে। অগস্টের গোড়ার দিকে ব্ল্যাকহ্যাট সম্মেলনে আরও বিশদ প্রকাশ্যে প্রকাশ করা হয়েছিল - তবে প্রায় এক বিলিয়ন অ্যান্ড্রয়েড ডিভাইসগুলি তাদের ব্যবহারকারীরা না জেনেও সম্ভাব্যভাবে এটি গ্রহণ করতে পারে বলে ঘোষণার আগে নয়।
তাহলে "স্টেজফ্রেট" কী? এবং আপনি এটি সম্পর্কে চিন্তা করা প্রয়োজন?
আরও তথ্য প্রকাশিত হওয়ায় আমরা এই পোস্টটি ধারাবাহিকভাবে আপডেট করছি। আমরা যা জানি এবং আপনার কী জানা দরকার তা এখানে।
স্টেজফ্রাইট কী?
"স্টেজফ্রেট" হ'ল ডাক নাম যা একটি সম্ভাব্য শোষণকে দেওয়া হয় যা অ্যান্ড্রয়েড অপারেটিং সিস্টেমের মধ্যেই বেশ গভীরভাবে বসবাস করে। সংক্ষিপ্তসারটি হ'ল এমএমএস (পাঠ্য বার্তা) এর মাধ্যমে প্রেরিত একটি ভিডিও তাত্ত্বিকভাবে লাইবস্টেজেট্রাইট মেকানিজম (এইভাবে "স্টেজফ্রেট" নাম) এর মাধ্যমে আক্রমণের এভিনিউ হিসাবে ব্যবহার করা যেতে পারে যা অ্যান্ড্রয়েডকে ভিডিও ফাইলগুলি প্রসেস করতে সহায়তা করে। অনেকগুলি পাঠ্য বার্তাপ্রেরণ অ্যাপ্লিকেশন - গুগলের Hangouts অ্যাপ্লিকেশনটি নির্দিষ্টভাবে উল্লেখ করা হয়েছিল - স্বয়ংক্রিয়ভাবে সেই ভিডিওটি প্রক্রিয়াজাত করে তাই আপনি বার্তাটি খোলার সাথে সাথে দেখার জন্য এটি প্রস্তুত এবং তাই তাত্ত্বিকভাবে আক্রমণটি আপনি এটি না জেনেও ঘটতে পারে।
কারণ লাইবস্টেজেট্রাইট অ্যান্ড্রয়েড ২.২-এ ফিরে এসেছে, কয়েক মিলিয়ন ফোনে এই ত্রুটিযুক্ত লাইব্রেরি রয়েছে।
আগস্ট 17-18: শোষিত রয়ে গেছে?
গুগল যেমন তার নেক্সাস লাইনের জন্য আপডেটগুলি রোল করতে শুরু করেছিল, এক্সডাস ফার্মটি একটি ব্লগ পোস্ট ছিনতাই করে প্রকাশ করেছে যে কমপক্ষে একটি শোষণ চালিয়ে যায় না, তা বোঝায় যে গুগল কোডটি নিয়েছে। যুক্তরাজ্যের প্রকাশনা দ্য রেজিস্টার, এক স্বচ্ছ লিখিত অংশে, র্যাপিড from এর একজন প্রকৌশলীকে উদ্ধৃত করে বলেছে যে আগামী ফিক্সটি সেপ্টেম্বরের সুরক্ষা আপডেটে আসবে - নতুন মাসিক সুরক্ষা প্যাচিং প্রক্রিয়ার অংশ।
গুগল, এর অংশ হিসাবে, এখনও সর্বশেষে এই সর্বশেষ দাবিটি প্রকাশ করতে পারে নি।
এর জন্য আরও কোনও বিবরণের অভাবে আমরা বিশ্বাস করতে আগ্রহী যে আরও খারাপভাবে আমরা ফিরে এসেছি যেখানে আমরা শুরু করেছি - যে লাইবস্পটফাইটের ত্রুটি রয়েছে, তবে সুরক্ষার অন্যান্য স্তর রয়েছে যা ডিভাইসগুলির সম্ভাবনা প্রশমিত করতে হবে আসলে শোষণ করা হচ্ছে।
এক অগস্ট। 18. ট্রেন্ড মাইক্রো লাইবস্টেস্টফ্রাইটের অন্য ত্রুটির উপর একটি ব্লগ পোস্ট প্রকাশ করেছে। এটি বলেছে যে এটির এই ব্যবহারটি আসলে ব্যবহৃত হচ্ছে তার কোনও প্রমাণ নেই এবং গুগলের প্যাচটি অ্যান্ড্রয়েড ওপেন সোর্স প্রকল্পে আগস্টে প্রকাশ করা হয়েছিল।
আগস্ট 5 পর্যন্ত নতুন স্টেজফ্রাইটের বিশদ
লাস ভেগাসে ব্ল্যাকহ্যাট সম্মেলনের সাথে একত্রিত হয়ে - যেখানে স্টেজফ্রেট দুর্বলতার আরও বিশদ প্রকাশ্যে প্রকাশ করা হয়েছিল - গুগল বিশেষত এই পরিস্থিতিকে সম্বোধন করেছিল, অ্যান্ড্রয়েড সুরক্ষার জন্য নেতৃত্ব প্রকৌশলী অ্যাড্রিয়ান লুডভিগ এনপিআরকে বলেছিলেন যে "বর্তমানে, অ্যান্ড্রয়েড ডিভাইসের 90% প্রযুক্তি রয়েছে এএসএলআর সক্ষম, যা ব্যবহারকারীদের সমস্যা থেকে রক্ষা করে called
এটি আমাদের পক্ষে "900 মিলিয়ন অ্যান্ড্রয়েড ডিভাইসগুলি ঝুঁকিপূর্ণ" লাইনের সাথে খুব একটা বিরোধিতাপূর্ণ। আমরা সংখ্যাগুলির উপরে শব্দ এবং পদযাত্রার লড়াইয়ের মধ্যে যাব না, লুডভিগ যা বলছিলেন তা হ'ল অ্যান্ড্রয়েড 4.0.০ বা তার চেয়ে বেশি চলমান ডিভাইসগুলি - এটি গুগল পরিষেবাগুলির সাথে সক্রিয় সমস্ত ডিভাইসের প্রায় 95 শতাংশ - এর বিরুদ্ধে সুরক্ষা রয়েছে একটি বাফার ওভারফ্লো আক্রমণ অন্তর্নির্মিত।
এএসএলআর (একটি ড্রেস এস পেস এল আইআউট আর অ্যান্ডোমাইজেশন) এমন একটি পদ্ধতি যা আক্রমণকারীকে কোনও প্রক্রিয়াটির মেমরি অ্যাড্রেস স্পেসগুলি এলোমেলোভাবে ব্যবস্থা করে চেষ্টা করতে এবং সেটিকে কাজে লাগাতে চায় সে নির্ভরযোগ্যভাবে ফাংশনটি সন্ধান করে। এএসএলআর জুন ২০০৫ সাল থেকে ডিফল্ট লিনাক্স কার্নেলে সক্ষম হয়েছে এবং সংস্করণ ৪.০ (আইসক্রিম স্যান্ডউইচ) সহ অ্যান্ড্রয়েডে যুক্ত হয়েছিল।
মুখের জন্য এটা কেমন?
এর অর্থ হ'ল যে প্রোগ্রাম বা পরিষেবা চলমান তার মূল ক্ষেত্রগুলি প্রতিবার র্যামে একই জায়গায় রাখা হয় না। এলোমেলোভাবে জিনিসগুলিকে মেমোরিতে রাখার অর্থ কোনও আক্রমণকারীকে অনুমান করতে হয় যে তারা যে ডেটাটি ব্যবহার করতে চায় সেগুলি কোথায় খুঁজতে হবে।
এটি একটি নিখুঁত স্থিরতা নয়, এবং সাধারণ সুরক্ষা প্রক্রিয়াটি ভাল হলেও, যখন তারা উত্থাপিত হয় তখন আমাদের জানা শোষণের বিরুদ্ধে সরাসরি প্যাচগুলির প্রয়োজন। গুগল, স্যামসুং (১), (২) এবং অ্যালকাটেল স্টেজফ্রেটের জন্য সরাসরি প্যাচ ঘোষণা করেছে এবং সনি, এইচটিসি এবং এলজি জানিয়েছে যে তারা আগস্টে আপডেট প্যাচ প্রকাশ করবে।
কে এই শোষণ খুঁজে পেল?
ব্ল্যাকহ্যাট সম্মেলনে তার বার্ষিক পার্টির ঘোষণার অংশ হিসাবে মোবাইল সুরক্ষা সংস্থা জিম্পেরিয়াম 21 শে জুলাই শোষণটি ঘোষণা করেছিল। হ্যাঁ, আপনি যে অধিকার পড়া। জিম্পেরিয়াম যেভাবে জানিয়েছে, এই "সমস্ত অ্যান্ড্রয়েডের ক্ষয়ক্ষতির জনক" ঘোষণা করা হয়েছিল 21 জুলাই (যে কেউ দৃশ্যত দেখাশোনা করার সিদ্ধান্ত নেওয়ার এক সপ্তাহ আগে, এবং মাত্র কয়েকটি শব্দ "6 ই আগস্ট সন্ধ্যায় জিম্পেরিয়াম হবে ভেগাস পার্টির দৃশ্যে রক করুন! " এবং আপনি জানেন যে এটি একটি রেগার হতে চলেছে কারণ এটি "আমাদের প্রিয় নিনজাদের জন্য আমাদের বার্ষিক ভেগাস পার্টি, " পুরোপুরি একটি রকিনের হ্যাশট্যাগ এবং সবকিছু সহ।
এই শোষণ কত ব্যাপক?
আবার, লাইবস্টেজেট্রাইট লাইব্রেরিতে ত্রুটিযুক্ত ডিভাইসের সংখ্যা নিজেই বেশ বিশাল, কারণ এটি নিজেই ওএসে রয়েছে। গুগল দ্বারা বেশ কয়েকবার উল্লিখিত হিসাবে, এমন অন্যান্য পদ্ধতি রয়েছে যাতে আপনার ডিভাইসটি সুরক্ষিত করা উচিত। এটিকে স্তরগুলিতে সুরক্ষা হিসাবে ভাবেন।
তাহলে আমার কি স্টেজফ্রেট নিয়ে চিন্তা করা উচিত?
সুসংবাদটি হ'ল যে গবেষক স্টেজফ্রেটে এই ত্রুটিটি আবিষ্কার করেছিলেন "বিশ্বাস করেন না যে বন্যের মধ্যে হ্যাকাররা এটি ব্যবহার করছে" " সুতরাং এটি খুব খারাপ জিনিস যা স্পষ্টতই কেউ কারও বিরুদ্ধে ব্যবহার করছে না, অন্তত এই একজনের মতে। এবং আবারও গুগল বলেছে আপনি অ্যান্ড্রয়েড ৪.০ বা তার বেশি ব্যবহার করছেন তবে আপনি সম্ভবত ঠিক আছেন be
এর অর্থ এই নয় যে এটি কোনও খারাপ সম্ভাব্য শোষণ নয়। এটা. এবং এটি নির্মাতা এবং ক্যারিয়ার ইকোসিস্টেমের মাধ্যমে আপডেটগুলি প্রাপ্তির অসুবিধাগুলি আরও আলোকপাত করে। অন্যদিকে, এটি শোষণের একটি সম্ভাব্য অ্যাভিনিউ যা স্পষ্টতই অ্যানড্রয়েড ২.২ থেকে শুরু হয়েছে - বা মূলত গত পাঁচ বছর ধরে। এটি হয় আপনার দৃষ্টিভঙ্গির উপর নির্ভর করে আপনাকে একটি টিকিং টাইম বোমা বা একটি সৌম্য সিস্ট makes
এবং এর অংশ হিসাবে, গুগল জুলাইয়ে অ্যান্ড্রয়েড সেন্ট্রারে পুনরায় জানিয়েছিল যে ব্যবহারকারীদের সুরক্ষার জন্য একাধিক প্রক্রিয়া রয়েছে।
আমরা তার অবদানের জন্য জোশুয়া ড্রেকে ধন্যবাদ জানাই। অ্যান্ড্রয়েড ব্যবহারকারীদের সুরক্ষা আমাদের কাছে অত্যন্ত গুরুত্বপূর্ণ এবং তাই আমরা দ্রুত প্রতিক্রিয়া জানালাম এবং ইতিমধ্যে যে কোনও ডিভাইসে প্রয়োগ করা যেতে পারে এমন অংশীদারদের জন্য প্যাচগুলি সরবরাহ করা হয়েছে।
সমস্ত নতুন ডিভাইস সহ বেশিরভাগ অ্যান্ড্রয়েড ডিভাইসে, একাধিক প্রযুক্তি রয়েছে যা শোষণকে আরও কঠিন করে তোলার জন্য ডিজাইন করা হয়েছে। অ্যান্ড্রয়েড ডিভাইসে ডিভাইসের ব্যবহারকারীর ডেটা এবং অন্যান্য অ্যাপ্লিকেশন সুরক্ষার জন্য ডিজাইন করা একটি অ্যাপ্লিকেশন স্যান্ডবক্সও অন্তর্ভুক্ত রয়েছে।
স্টেজফ্রাইট ঠিক করার আপডেটগুলি সম্পর্কে কী?
সত্যিকার অর্থে এটি প্যাচ করার জন্য আমাদের সিস্টেম আপডেটের প্রয়োজন হবে। 12 ই আগস্টের বুলেটিনে তার নতুন "অ্যান্ড্রয়েড সুরক্ষা গোষ্ঠী" তে গুগল একটি "নেক্সাস সিকিউরিটি বুলেটিন" জারি করেছে যার শেষ থেকে জিনিসগুলি বিশদ করা আছে। একাধিক সিভিই (কমন দুর্বলতা এবং এক্সপোজার) সম্পর্কিত বিশদ রয়েছে, যখন অংশীদারদের অবহিত করা হয়েছিল (10 এপ্রিলের প্রথম দিকে, এক হিসাবে), যা অ্যান্ড্রয়েড বৈশিষ্ট্যযুক্ত ফিক্সগুলি তৈরি করে (অ্যান্ড্রয়েড 5.1.1, বিল্ড এলএমওয়াই 48I) এবং অন্য কোনও প্রশমনকারী কারণগুলি (পূর্বোক্ত ASLR মেমরি স্কিম)।
গুগল আরও বলেছে যে এটি তার হ্যাঙ্গআউট এবং ম্যাসেঞ্জার অ্যাপ্লিকেশনগুলি আপডেট করেছে যাতে তারা পটভূমিতে ভিডিও বার্তাগুলি স্বয়ংক্রিয়ভাবে প্রক্রিয়াকরণ না করে "যাতে মিডিয়া স্বয়ংক্রিয়ভাবে মিডিয়াসেভার প্রক্রিয়াতে না যায়।"
খারাপ খবরটি হ'ল বেশিরভাগ লোকেরা সিস্টেম আপডেটগুলি ধাক্কা দেওয়ার জন্য নির্মাতারা এবং ক্যারিয়ারের জন্য অপেক্ষা করতে হয়। তবে, আবার - আমরা যখন 900 মিলিয়ন দুর্বল ফোনের মতো কিছু কথা বলছি তখন আমরা শোষণের শূন্যপরিচয় ক্ষেত্রেও কথা বলছি। এগুলি বেশ ভাল প্রতিকূলতা।
এইচটিসি জানিয়েছে যে এখান থেকে আপডেটগুলিতে এই ফিক্সটি থাকবে। এবং সায়ানোজেনমড তাদের পাশাপাশি এখন অন্তর্ভুক্ত করছে।
মটোরোলা বলেছে যে এর বর্তমান প্রজন্মের সমস্ত ফোন - মোটো ই থেকে শুরু করে নতুন মোটো এক্স (এবং এর মধ্যে থাকা সমস্ত কিছু) প্যাচ করা হবে, কোন কোডটি 10 আগস্ট থেকে ক্যারিয়ারে যাবে।
৫ আগস্ট, গুগল নেক্সাস ৪, নেক্সাস ৫, নেক্সাস,, নেক্সাস,, নেক্সাস ৯ এবং নেক্সাস ১০ এর জন্য নতুন সিস্টেম চিত্র প্রকাশ করেছে। গুগলও ঘোষণা করেছে যে এটি নেক্সাস লাইনের জন্য নেক্সাস লাইনের জন্য মাসিক সুরক্ষা আপডেট প্রকাশ করবে। (দ্বিতীয় প্রকাশ্যে প্রকাশিত এম প্রিভিউ বিল্ডটি ইতিমধ্যে প্যাচ করা রয়েছে বলে মনে হয়))
এবং যখন তিনি নামটি দিয়ে স্টেজফ্রেট শোষণের নাম রাখেননি, গুগলের অ্যাড্রিয়ান লুডভিগ ইতিমধ্যে Google+ এ ইতিমধ্যে সাধারণভাবে শোষণ এবং সুরক্ষাটিকে সম্বোধন করেছিলেন, আবার ব্যবহারকারীদের সুরক্ষায় যাওয়া একাধিক স্তরগুলির কথা স্মরণ করিয়ে দিয়েছিলেন। সে লেখে:
সাধারণ, ভুল ধারণা রয়েছে যে কোনও সফ্টওয়্যার বাগ সুরক্ষা কাজে লাগাতে পারে। প্রকৃতপক্ষে, বেশিরভাগ বাগগুলি শোষণযোগ্য নয় এবং অদ্ভুতগুলি এই প্রতিকূলগুলি উন্নত করার জন্য অ্যানড্রয়েড অনেকগুলি কাজ করেছে। আমরা গত 4 বছর এক ধরণের বাগ - মেমোরি দুর্নীতি বাগগুলিতে ফোকাসযুক্ত প্রযুক্তিগুলিতে প্রচুর পরিমাণে বিনিয়োগ করে ব্যয় করেছি এবং এই বাগগুলি আরও বেশি শোষণ করার চেষ্টা করছি trying
![সুরক্ষিতভাবে কোনও ডিভাইস মুছা বিক্রি করার পক্ষে ঠিক জরিমানা করে [ফিউডাইটার্স]](https://img.androidermagazine.com/img/news/794/securely-wiping-any-device-makes-it-just-fine-sell.jpg "সুরক্ষিতভাবে কোনও ডিভাইস মুছা বিক্রি করার পক্ষে ঠিক জরিমানা করে [ফিউডাইটার্স]")
