সোর্সডিএনএ, একটি কোড অ্যানালিটিক্স প্ল্যাটফর্ম যা অ্যান্ড্রয়েড এবং আইওএস অ্যাপের অডিট করে, সম্প্রতি একটি রিপোর্ট প্রকাশ করেছে যা নির্দেশ করে যে 1,000টিরও বেশি iOS অ্যাপের একটি গুরুতর নিরাপত্তা দুর্বলতা রয়েছে যা ব্যবহারকারীর আর্থিক বিবরণের সাথে আপস করতে পারে।
বাগটি অ্যাপগুলিকে SSL শংসাপত্রগুলিকে সঠিকভাবে প্রমাণীকরণ করতে বাধা দেয়, অ্যাপগুলিকে বেশ কয়েকটি ম্যান-ইন-দ্য-মিডল আক্রমণে উন্মুক্ত করে৷ যদিও এই অ্যাপটি iOS-এর নিরাপত্তাকে প্রভাবিত করে না, এটি প্রভাবিত অ্যাপের মাধ্যমে প্রেরিত ব্যবহারকারী ডেটার সাথে আপস করতে পারে...
একটি সাধারণ বাগ যা SSL ভেঙে দেয়
প্রশ্নে থাকা বাগটি AFNetworking প্যাকেজে রয়েছে, একটি জনপ্রিয় ওপেন-সোর্স নেটওয়ার্কিং সমাধান যা হাজার হাজার অ্যাপ স্টোর অ্যাপে ব্যবহৃত হয়। বাগ হল একটি সাধারণ লজিক ত্রুটি যা SSL চেককে বাস্তবে ঘটতে বাধা দেয়, সমস্ত শংসাপত্র চেককে বৈধ হিসাবে ফিরিয়ে দেয়। এটি হার্টব্লিড বা শেলশকের মতো একটি বিশাল নিরাপত্তা বিপর্যয় নয় - তবে আপনি যদি বাগ রয়েছে এমন একটি অ্যাপ ব্যবহার করেন তবে এটি একটি সমস্যা। ভাগ্যক্রমে, বাগটি মাত্র ছয় সপ্তাহের জন্য বিদ্যমান ছিল, 2.5.1 এ যোগ করা হয়েছে এবং 2.5.2 এ সংশোধন করা হয়েছে। আপনি যুক্তিসঙ্গতভাবে ধরে নিতে পারেন এটাই গল্পের শেষ।
দুর্ভাগ্যবশত, না।
দুঃখের বিষয়, অনেক ডেভেলপার সক্রিয়ভাবে বাগ ফিক্সের সাথে তাদের অ্যাপগুলিকে আপ টু ডেট রাখে না, এবং এমন অনেক অ্যাপ রয়েছে যেগুলি একটি প্যাচ উপলব্ধ থাকা সত্ত্বেও এখনও AFNetworking-এর ভাঙা সংস্করণ ব্যবহার করছে। সোর্সডিএনএ 20,000টি অ্যাপ বিশ্লেষণ করেছে যাতে AFNetworking প্যাকেজের সংস্করণ রয়েছে, এবং নির্ধারণ করেছে যে প্রায় 1,000 এখনও ভাঙা SSL চেক ব্যবহার করছে৷
সোর্সডিএনএ অ্যানালিটিক্স টুল ব্যবহার করে এই পরীক্ষাটি করতে সক্ষম হয়েছে যা হাজার হাজার অ্যাপের বাইনারি ফাইল বিশ্লেষণ করা সম্ভব করে। তাদের প্রযুক্তি তাদের এই অ্যাপগুলি শুধুমাত্র কোন লাইব্রেরিগুলির সাথে সংকলিত হয়েছে তা নয়, কোনটি সংস্করণ সনাক্ত করতে দেয় যারা লাইব্রেরি এটি দেখা যাচ্ছে, কোন অ্যাপগুলি পরিচিত বাগ এবং দুর্বলতা দ্বারা প্রভাবিত হতে পারে তা সনাক্ত করার জন্য এটি অবিশ্বাস্যভাবে কার্যকর। প্রকাশিত কাগজ অনুযায়ী,
"উৎস ডিএনএ দুর্বল কোড খুঁজে পেতে তাদের থেকে একটি ডিফারেনশিয়াল ফিঙ্গারপ্রিন্ট তৈরি করেছে। এটিকে অনন্য বৈশিষ্ট্যের একটি সেট হিসাবে মনে করুন যা শুধুমাত্র লক্ষ্যযুক্ত সংস্করণে উপস্থিত বা অনুপস্থিত ছিল এবং এর আগে বা পরে অন্য কোনও নয়। স্বাক্ষরের এই সেটের সাথে, আমাদের বিশ্লেষণ প্রতিটি অ্যাপে AFNetworking-এর কোন ভার্সন ব্যবহার করা হয়েছে তা ইঞ্জিন আমাদেরকে বলবে। "
Alibaba.com মোবাইল অ্যাপ, KYBankAgent 3.0, এবং Revo Restaurant Point of Sale সহ অনেক প্রভাবিত অ্যাপ ব্যবহারকারীর ক্রেডিট কার্ড ডেটা সঞ্চয় করে এবং প্রেরণ করে। কয়েক মিলিয়ন ব্যবহারকারী তাদের iOS ডিভাইসে একটি দুর্বল অ্যাপ ইনস্টল করেছেন - এই ধরনের একটি সংক্ষিপ্ত বাগ থেকে বিস্ময়কর পরিমাণ এক্সপোজার৷
"5% বা প্রায় 1,000 অ্যাপের ত্রুটি ছিল। এই অ্যাপগুলি কি গুরুত্বপূর্ণ? আমরা তাদের আমাদের র্যাঙ্ক ডেটার সাথে তুলনা করেছি এবং কিছু বড় প্লেয়ার পেয়েছি:Yahoo!, Microsoft, Uber, Citrix, ইত্যাদি। এটা আমাদের অবাক করে যে একটি ওপেন সোর্স লাইব্রেরি শুধুমাত্র 6 সপ্তাহের জন্য একটি নিরাপত্তা ত্রুটি চালু মিলিয়ন উন্মুক্ত আক্রমণ করার জন্য ব্যবহারকারীদের।"
AFNetworking বাগ এর প্রভাব মূল্যায়ন
এই দুর্বলতা কতটা খারাপ? বাগটি আক্রমণকারীদেরকে অ্যাপগুলিকে বোকা বানানোর অনুমতি দেয় যে তারা একটি বিশ্বস্ত সার্ভারের সাথে একটি সুরক্ষিত সংযোগের মাধ্যমে যোগাযোগ করছে৷ আপনি যদি একটি দুর্বল অ্যাপ ব্যবহার করেন, তাহলে একই ওয়াইফাই নেটওয়ার্কে যে কেউ আপনার মতো একটি ম্যান-ইন-দ্য-মিডল অ্যাটাক সেট আপ করতে পারে এবং ক্রেডিট কার্ডের তথ্যের মতো সংবেদনশীল ডেটা সহ অ্যাপগুলি থেকে তথ্য আটকাতে পারে। এই তথ্যটি তখন পরিচয় চুরি এবং অন্যান্য ধরনের জালিয়াতির সুবিধার জন্য ব্যবহার করা যেতে পারে। সম্ভাব্য, জনপ্রিয় অ্যাপগুলিকে লক্ষ্য করার জন্য এই ধরনের আক্রমণ স্বয়ংক্রিয় হতে পারে।
মাইক্রোসফ্ট এবং ইয়াহু সহ এই খবরটি ছড়িয়ে পড়ার পর থেকে বেশ কয়েকটি সংস্থা আপডেট এবং সংশোধন করেছে। যদিও বেশিরভাগ অ্যাপই আনপ্যাচড থাকে। আপনি যে অ্যাপগুলি ব্যবহার করেন সেগুলি প্রভাবিত কিনা তা দেখতে, আপনি SourceDNA অনুসন্ধান সরঞ্জামটি ব্যবহার করতে পারেন। আপনি যদি আবিষ্কার করেন যে আপনার অ্যাপগুলির মধ্যে একটি এখনও ঝুঁকিপূর্ণ, তবে সবচেয়ে নিরাপদ কৌশল হল এটিকে সাময়িকভাবে মুছে ফেলা এবং যত তাড়াতাড়ি সম্ভব একটি প্যাচ বের করতে ডেভেলপারদেরকে বার্তা পাঠান।
সোর্সডিএনএ একটি চতুর টুল, এবং এটি প্রমাণ করে যে তাদের প্রযুক্তি সত্যিকারের দরকারী। কম্পিউটার নিরাপত্তা কঠিন, এবং একটি টুল যা আনপ্যাচড বাগগুলি সন্ধান করার প্রক্রিয়াটিকে স্বয়ংক্রিয় করতে পারে - বিকাশকারীর সহযোগিতা সহ বা ছাড়াই - ব্যবহারকারীর নিরাপত্তার জন্য একটি বিশাল জয়৷ এই ধরনের চেকিং ছাড়া, এই বিস্তৃত বাগটি টিকে থাকত, সম্ভবত বেশ দীর্ঘ সময়ের জন্য। এই ধরনের বিশ্লেষণ ব্যাপক জনসাধারণের লজ্জা করতে সক্ষম করে যা ডেভেলপারদের আরও বেশি দায়বদ্ধ করে তোলে, এবং সম্ভবত সোর্সডিএনএ আরও অনাবিষ্কৃত এবং অমীমাংসিত সমস্যাগুলি উন্মোচন করবে।
আপনার iOS ডিভাইস কি AFNetworking বাগ দ্বারা প্রভাবিত? আপনি এই নতুন বিশ্লেষণ সরঞ্জাম দ্বারা উত্তেজিত? কমেন্টে আমাদের জানান!
ইমেজ ক্রেডিট:"US নেভি সাইবারওয়ারফেয়ার," "iPhone ফ্রন্ট, "iPhone ক্যামেরা", Wikimedia দ্বারা
