প্রধান সফটওয়্যার FREAKish অ্যাপগুলিতে এখনও নিরাপত্তা গর্ত রয়েছে
সফটওয়্যার

FREAKish অ্যাপগুলিতে এখনও নিরাপত্তা গর্ত রয়েছে

দ্বারাগ্লেন ফ্লিশম্যান,সিনিয়র অবদানকারী, 18 মার্চ, 2015 8:51 pm PDT বেড়া মেঘের ফাঁক খোলার নিরাপত্তা গর্ত অ্যান্টন নোভিকভ/থিঙ্কস্টক

ফ্রিক নামে পরিচিত ওয়েব নিরাপত্তা শোষণ যা আমি গত সপ্তাহে আলোচনা করেছি তা অ্যাপল দ্বারা প্যাচ করা হয়েছিল দুই সপ্তাহ আগে এটি আবিষ্কার হওয়ার কয়েকদিন পরে। FREAK একটি নিরাপদ সংযোগ তৈরি করতে ব্যবহৃত অনেক সফ্টওয়্যার লাইব্রেরিতে পিছনের সামঞ্জস্যের জন্য একটি ত্রুটির সাথে মিলিত ওয়েব সার্ভারে একটি কনফিগারেশন সমস্যার উপর নির্ভর করে। কিন্তু প্যাচটি শুধুমাত্র অ্যাপলের অপারেটিং সিস্টেমকে প্রভাবিত করেছে-সব অ্যাপ নয়।

এটি হাইলাইট করে যে ডেভেলপারদের পছন্দের কারণে অ্যাপগুলি কীভাবে দুর্বল থাকতে পারে। এবং অ্যাপলের ফ্রিক আপডেট শুধুমাত্র iOS 8.2, OS X 10.8, 10.9 এবং 10.10-এ সমস্যার সমাধান করেছে। যখন আমি গত সপ্তাহে এর একটি অংশ সম্বোধন করেছি, তখন আরও কিছু বলার আছে।

কীভাবে আইফোনে অ্যাপ আইকনগুলি সরানো যায়

যখন অ্যাপ্লিকেশানগুলি আক্রমণ করে—বা আক্রমণ করা হয়৷

ফায়ারআই এর গবেষকরা একটি ব্লগ পোস্টে উল্লেখ করা হয়েছে বুধবার যখন অপারেটিং সিস্টেমগুলি আপডেট করা হয়েছে, তাদের পরীক্ষাগুলি নির্দেশ করে যে অনেকগুলি অ্যান্ড্রয়েড এবং মুষ্টিমেয় iOS অ্যাপগুলি একটি OS-এ সুরক্ষা উপাদানগুলি ব্যবহার করার পরিবর্তে অভ্যন্তরীণ সুরক্ষা কোড লাইব্রেরির উপর নির্ভর করে৷



FireEye অফিসিয়াল গুগল প্লে স্টোরে প্রায় 11,000টি জনপ্রিয় অ্যান্ড্রয়েড অ্যাপ এবং 14,000টিরও বেশি iOS অ্যাপ পরীক্ষা করেছে। যাদের পরীক্ষা করা হয়েছে তাদের মধ্যে, তারা 1,228টি অ্যান্ড্রয়েড অ্যাপ এবং 771টি iOS অ্যাপ নিরাপদ সার্ভারের সাথে সংযোগ খুঁজে পেয়েছে যেগুলি ফ্রিক শোষণের সার্ভার-সাইড অংশ ঠিক করার জন্য এখনও (বা কখনোই) আপডেট করা হয়নি।

অ্যান্ড্রয়েডের অবস্থা আরও খারাপ, কারণ প্রায় অর্ধেক প্রভাবিত অ্যাপগুলি অ্যান্ড্রয়েডের উপর নির্ভর করার পরিবর্তে এনক্রিপশন সফ্টওয়্যারে তৈরি পাওয়া গেছে এবং ফ্রেকের জন্য সংবেদনশীল। iOS-এ, শুধুমাত্র সাতটি অ্যাপ অ্যাপলের নিরাপত্তা কাঠামোকে বাইপাস করে এবং iOS 8.2-এ দুর্বল থাকে। সমস্ত 771 অ্যাপগুলি iOS এর পূর্ববর্তী সমস্ত রিলিজগুলিতে দুর্বল থেকে যায় যেখানে তারা এখনও কাজ করে৷

যদিও এই সমস্ত অ্যাপ, অ্যান্ড্রয়েড বা আইওএস, সংবেদনশীল ডেটা জড়িত নয়, এমন কোনও প্রোগ্রাম যা লগইন ব্যবহার করে বা ব্যক্তিগত তথ্য স্থানান্তর করে—যেমন ব্যক্তিগত ছবি— পরিচয় চুরি, হয়রানি এবং চাঁদাবাজি এবং অন্যান্য পরিষেবাগুলিতে অ্যাক্সেসের চাবিকাঠি হতে পারে। কেউ একই অ্যাকাউন্টের নাম বা ইমেল ঠিকানা এবং পাসওয়ার্ড ব্যবহার করে।

যদি আপনি এটি পছন্দ করেন, এটি একটি পিন করা

অ্যাপ জমা দেওয়া অ্যাপলের ঘনিষ্ঠভাবে যাচাই-বাছাই সত্ত্বেও, তৃতীয় পক্ষের সফ্টওয়্যারকে তথ্য গোপনীয়তা সম্পর্কে অ্যাপলের নিয়মগুলি বহাল থাকা পর্যন্ত এটি সার্ভারের সাথে কীভাবে যোগাযোগ করে তা বিস্তৃত অক্ষাংশের অনুমতি দেওয়া হয়। (এবং তারপরেও, এটি শুধুমাত্র যখন একটি লঙ্ঘন ঘটে বা কেউ একটি সমস্যা রিপোর্ট করে যে অ-স্পষ্ট সমস্যা আবিষ্কৃত হয়।)

আইক্লাউড থেকে সাইন আউট করলে কি হয়

উদাহরণ স্বরূপ, নিরাপদ ওয়েব, ইমেল এবং অন্যান্য সংযোগের অন্তর্গত সার্টিফিকেট সিস্টেমকে বিপর্যস্ত করার জন্য সরকার, অপরাধী এবং অন্যদের সক্ষমতা নিয়ে কয়েক বছর ধরে উদ্বেগ বাড়ছে। শংসাপত্রগুলি বিশ্বজুড়ে শত শত পক্ষ দ্বারা জারি করা হয়, এবং অপারেটিং সিস্টেম এবং ব্রাউজারগুলি একটি ক্রিপ্টোগ্রাফিক ডবল-চেক ব্যবহার করে তা নিশ্চিত করার জন্য যে একটি সুরক্ষিত ওয়েবসাইট এটি যা বলছে সেটিই৷ এই বৈধতা বাধা দেয় ম্যান-ইন-দ্য-মিডল আক্রমণ .

FREAK এনক্রিপশনের একটি পুরানো ফর্ম যা ক্র্যাক করা যেতে পারে একটি ডাউনগ্রেড করার মাধ্যমে এক ধরনের আক্রমণের অনুমতি দেয় এবং শংসাপত্রগুলিকে বিকৃত করার উপর নির্ভর করে না। যাইহোক, শংসাপত্র কর্তৃপক্ষ (CAs) যেগুলি ডিজিটাল প্রমাণগুলিতে সাইন অফ করে গত কয়েক বছরে কয়েকবার হ্যাক করা হয়েছে এবং প্রতিবারই নতুন সুরক্ষা ব্যবস্থা রাখা হয়েছে৷ কিন্তু তারা এখনও সেখানে নেই।

একটি কৌশল পিনিং নামে পরিচিত, যেখানে একটি ডোমেন (যেমন macworld.com) বা একটি অ্যাপ সুনির্দিষ্টভাবে নির্দিষ্ট করতে পারে কোন CA-কে বৈধ শংসাপত্র ইস্যু করার অনুমতি দেওয়া হয়েছে। অন্য কোনো কর্তৃপক্ষ দ্বারা জারি করা একটি শংসাপত্র প্রত্যাখ্যান করা হয় এবং ব্যবহারকারীকে সতর্ক করা হয়। Google বছরের পর বছর ধরে পিনিং নিয়ে পরীক্ষা-নিরীক্ষা করেছে এবং করতে পেরেছে ইরানে একটি জাল শংসাপত্র সনাক্ত করুন 2011 সালে যখন একটি Google ডোমেনের জন্য একটি অ-অনুমোদিত শংসাপত্র উপস্থাপন করা হয়েছিল তখন Chrome-এ একটি সতর্কতা অন্তর্ভুক্ত করার ফলে৷ ক্ষতিগ্রস্ত ব্যবহারকারী Google-কে জানিয়েছিলেন, যার ফলে একটি CA-তে নিরাপত্তা লঙ্ঘন হয়েছে।

অ্যাপ বিকাশকারীরাও পিন করতে পারেন এবং এটি নিরাপত্তা বিশেষজ্ঞদের দ্বারা একটি প্রস্তাবিত অনুশীলন। মার্কো আর্মেন্ট , Instapaper-এর স্রষ্টা এবং Overcast অ্যাপের পিছনের বিকাশকারী, ওভারকাস্টের সাথে পিনিং ব্যবহার করেন, যেমনটি অন্যান্য অনেকের মতো, কিন্তু সকলেই নয়, বিকাশকারী৷ এটি প্রয়োজনীয় নয়।

আরমেন্ট কয়েক সপ্তাহ আগে উল্লেখ করেছে যে তার 200,000 নিবন্ধিত ব্যবহারকারী রয়েছে; অন্যান্য অ্যাপের লক্ষ লক্ষ বা লক্ষ লক্ষ আছে, যেমন Instagram। এগুলি হ্যাকার বা সরকারী এজেন্টের কাছে তথ্যের সরস বিট, কারণ লগইন বাধা দেওয়ার ফলে তারা অন্যান্য পরিষেবাগুলিতে একই অ্যাকাউন্টের শংসাপত্রগুলি পরীক্ষা করতে বা খনন বা অপব্যবহার হতে পারে এমন ব্যক্তিগত ডেটার স্ট্রীমে অ্যাক্সেস পেতে দেয়।

নেতিবাচক দিক হল যে একজনের শংসাপত্র যত্ন সহকারে আপডেট এবং পরিচালনা করতে ব্যর্থতার ফলে একটি অ্যাপের সংযোগ ব্যর্থ হতে পারে এবং একটি দ্রুত অ্যাপ আপডেটের প্রয়োজন হতে পারে! কিন্তু সুবিধা বেশি।

ব্যবহারকারীরা এই ধরণের নিরাপত্তা উন্নতিগুলি নির্ধারণ করতে পারে না, তবে তারা তাদের অনুরোধ করতে পারে। অ্যাপল তার অ্যাপ-পর্যালোচনা প্রক্রিয়ায় এই জাতীয় নিরাপত্তা সমস্যাগুলি পরীক্ষা করার জন্য নিয়মের অযৌক্তিক ব্যাখ্যা প্রয়োগ করা থেকে তার কিছু প্রচেষ্টাকে স্থানান্তর করতে পারে এবং বিকাশকারীদের নির্দেশনা দিতে পারে।

পুরানো ধূসর ওএস আগের মতো নেই

অনেক হ্যান্ডসেট এবং অন্যান্য ডিভাইসের আপগ্রেডেবিলিটির অভাব সম্পর্কে অ্যাপলের লোকেরা দীর্ঘদিন ধরে অ্যান্ড্রয়েড ব্যবহারকারীদের খোঁচা দিতে পছন্দ করেছে- কিছু কিছু একটি অন্তর্নিহিত প্রতিশ্রুতি দিয়ে বিক্রি হয়েছে যে ডিভাইসটি নতুন বড় রিলিজ সমর্থন করবে। এবং অনেক নির্মাতারা এখনও পূর্ববর্তী, অ-সমর্থিত রিলিজ সহ Android ডিভাইসগুলি প্রেরণ করে, তাদের মধ্যে কিছু বছর পুরানো।

এখন অ্যাপলকে একই আঙ্গুলের ইশারা কিছু সম্মুখীন করতে হবে। অ্যাপল যখন নতুন হার্ডওয়্যার বিক্রি বন্ধ করে দেয় যেগুলি সর্বশেষ iOS রিলিজ চালাতে পারে না যখনই তারা একটি বড় আপডেট দেয় — 7 থেকে 8 পর্যন্ত চলে যায়, বলুন- FREAK আপডেটের সাথে, তারা সেইসব গ্রাহকদের বাদ দিয়েছে যাদের হার্ডওয়্যার পুরানো হয়েছে বা বেছে নিয়েছে আপগ্রেড না করার জন্য।

অ্যাপল সর্বশেষ হার্ডওয়্যার বিক্রি করা বন্ধ করে দেয় যা iOS 8 তে আপগ্রেড করা যায়নি সেই সংস্করণটি প্রকাশের এক বছর আগে (আইফোন 4)। তবে কমপক্ষে 100 মিলিয়ন পুরোপুরি সন্তোষজনক iOS ডিভাইস রয়েছে, যদি তার বেশি না হয়, যেগুলি iOS 7 এর পরে রিলিজ চালাতে পারে না (বা করবে না)। অ্যাপল নিজস্ব তথ্য প্রদর্শন যে 20 শতাংশ iOS ডিভাইস iOS 7 চালাচ্ছে, এবং 3 শতাংশ এখনও আগের সংস্করণ ব্যবহার করছে; এটি এক বিলিয়নেরও বেশি ডিভাইস পাঠানো হয়েছে। (ধরুন কিছু শালীন শতাংশ মৃত।)

অ্যাপল যখন OS X এর জন্য 10.8 এ ফিরে গিয়েছিল (2012 সালে প্রকাশিত), সক্রিয় ব্যবহারকারীদের 18 শতাংশ 10.7 (2011) এবং 10.6 (2009) ব্যবহার করছিল। আপডেটের অসুবিধা সত্ত্বেও, অন্তত একটি 10.7 প্যাচ অবশ্যই সার্থক হবে?

ফাইল মুছে ফেলা যাবে না কারণ এটি ব্যবহার করা হচ্ছে

FREAK হল একটি অদ্ভুত কেস, যাতে এটি উভয় বা উভয় প্রান্তে স্থির হতে পারে: আপডেট করা ওয়েব সার্ভারগুলি সমস্যার সমাধান করে, এবং এটি প্রচুর পরিমাণে এবং খুব দ্রুত ঘটেছে৷ সমস্ত সার্ভার ঠিক করা থাকলে একটি আপডেট করা ওয়েব ব্রাউজার বা OS নিরাপত্তা উপাদানের প্রয়োজন হয় না, যেমনটি আমি গত সপ্তাহে উল্লেখ করেছি।

কিন্তু এটি একটি খারাপ প্রবণতা থেকে যায়। পুরানো OS সংস্করণগুলিতে বৈশিষ্ট্যগুলি আপডেট করা খুব সামান্যই বোঝায়, এবং এটি এমন একটি জলাবদ্ধতা যেখানে মাইক্রোসফ্ট নিজেকে আটকে রাখত - এবং কখনও কখনও অ্যাপলও। নিরাপত্তা একটি বৈশিষ্ট্য নয়, যদিও - এটি একটি প্রয়োজনীয়তা। যদিও এর OS X সমর্থন আমাদেরকে কয়েক বছর আগে প্রকাশিত কম্পিউটারগুলিতে ফিরিয়ে নিয়ে যায়, iOS কাটঅফটি খুব ছোট।