গতকাল আমরা প্রকাশিত Actualidad iPhone একটি গুরুতর নিরাপত্তা সমস্যা সনাক্ত করা হয়েছে যা iOS এবং OS X অপারেটিং সিস্টেম ব্যবহার করে এমন ডিভাইসগুলিকে প্রভাবিত করে৷ XARA নামকরণ করা হয়েছে, অননুমোদিত ক্রস-অ্যাপ রিসোর্স অ্যাক্সেস (এক্স আমি ধরে নিয়েছি "ক্রস" এর জন্য) এবং ওস এক্স এর ক্ষেত্রে বিশেষ উদ্বেগের কারণ, আইক্লাউড কীচেইনকে লক্ষ্য করে। অ্যাপলকে এই ত্রুটিটি ঠিক করতে হবে তবে আপনার আর আতঙ্কিত হওয়ার দরকার নেই।
এই নিবন্ধে আমরা ব্যাখ্যা করার চেষ্টা করব XARA সম্পর্কে সবকিছু, এটি কী করে, এটি প্রভাবিত করে এবং দূষিত ব্যবহারকারীকে আমাদের আইক্লাউড কীচেনগুলি অ্যাক্সেস করা থেকে বিরত রাখতে আমরা কী করতে পারি।
[আপডেট 20/6/2015] অ্যাপল XARA সম্পর্কে কথা বলে:
"এই সপ্তাহের শুরুতে আমরা সার্ভারে একটি অ্যাপ্লিকেশন আকারে একটি সুরক্ষা আপডেট যুক্ত করেছি যা অ্যাপ্লিকেশন ডেটা সুরক্ষিত করে এবং ম্যাক অ্যাপ স্টোর থেকে স্যান্ডবক্স কনফিগারেশন সমস্যাযুক্ত অ্যাপ্লিকেশনগুলিকে ব্লক করে।" তারা এমন প্রশ্নের জবাবে বলেছিল যে "আমাদের আরও প্যাচ চলছে এবং পরিস্থিতি সমাধানে আমরা গবেষকদের সাথে কাজ করছি।"
এক্সএআরএ কি?
XARA একই শব্দটিতে একত্রিত করতে ব্যবহৃত নাম বৈধ অ্যাপ্লিকেশনটির মাধ্যমে সুরক্ষিত তথ্যে অ্যাক্সেস অর্জনের জন্য দূষিত অ্যাপ্লিকেশন ব্যবহার করে এমন একগুলি শোষণ। তারা "ম্যান-ইন-দ্য-মিডল" পদ্ধতিটি ব্যবহার করে এটি করে, যার অর্থ তারা আমাদের শংসাপত্র দেওয়ার জন্য আমাদের ঠকানোর জন্য ফিশিং ব্যবহার করে আমাদের এবং বৈধ সার্ভারের মধ্যে রয়েছেন।
এক্সএআরএ এর লক্ষ্য কী?
ওএস এক্স-এ, এক্সএআরএ লক্ষ্য করে আইক্লাউড কীচেন ডাটাবেস (আইক্লাউড কীচেন), যেখানে আমরা আমাদের ব্যবহারকারী এবং পাসওয়ার্ডগুলি সঞ্চয় করি; ওয়েবসকেটস, অ্যাপ্লিকেশনগুলির মধ্যে এবং যোগাযোগের সাথে যোগাযোগের একটি চ্যানেল; এবং প্যাকেজ শনাক্তকারী, যা কেবল স্যান্ডবক্স অ্যাপ্লিকেশনগুলি সনাক্ত করে এবং লক্ষ্য ডেটা ধারক হিসাবে ব্যবহার করা যেতে পারে।
আইওএসে, এক্সএআরএ ইউআরএল স্কিমগুলিকে লক্ষ্য করে। ইউআরএল চুরি কোনও অপারেটিং সিস্টেমের দুর্বলতা নয়। পছন্দসই কার্যকারিতা অর্জনের জন্য যদি কোনও সরকারী সুরক্ষা ব্যবস্থা যথাযথ না থাকে তবে এটি ব্যবহার করা যেতে পারে। মনে হচ্ছে আইওএস-এ ব্যর্থতা এতটা গুরুতর নয় যেহেতু এর এক্সপোজারটি অনেক বেশি সীমাবদ্ধ।
কীভাবে শোষণ বিতরণ করা হয়?
সুরক্ষা গবেষকরা অ্যাপ্লিকেশন তৈরি করেছেন এবং এগুলি ম্যাক অ্যাপ স্টোর এবং অ্যাপ স্টোরে আপলোড করেছেন। ওএস এক্সের ক্ষেত্রে এগুলি অন্য কোনও ওয়েবসাইট দ্বারা বিতরণ করা যেতে পারে এবং আমরা যদি সিস্টেমের পছন্দগুলি থেকে এটি কনফিগার করি তবে আমরা সেগুলি ইনস্টল করতে পারি।
অ্যাপ স্টোরগুলি দূষিত আচরণ আছে কিনা তা সনাক্ত করার চেষ্টা করে। যদি তারা অ্যাপ স্টোরে যেমন আচরণটি সনাক্ত করে, এক্সএআরএর মতো হয়, ভবিষ্যতে অ্যাপ স্টোরটি অ্যাক্সেস করা থেকে একই রকম ব্যবহারগুলি রোধ করতে ভবিষ্যতের পর্যালোচনাগুলির জন্য তথ্য ব্যবহার করা হয়। তাই অ্যাপ স্টোর সমঝোতা হয়নি.
এই অ্যাপ্লিকেশনগুলি কীভাবে কাজ করে?
সহজ কথায় বলতে গেলে, তারা তথ্য বিনিময় বা স্যান্ডবক্স অ্যাপ্লিকেশনগুলির মধ্যে মধ্যস্থতাকারী হিসাবে কাজ করে। তারা যা করে তা অপেক্ষা এবং "তাদের আঙ্গুলগুলি পেরিয়ে" ব্যবহার করার জন্য অপেক্ষা করা। এটি যদি না হয় তবে তারা কিছুই করতে পারে না।
ওএস এক্স আইক্লাউড কীচেইনের ক্ষেত্রে, আপনি শংসাপত্রগুলি প্রাক-নিবন্ধন করতে পারেন বা মুছতে এবং পুনরায় নিবন্ধ করতে পারেন। ওয়েবসকেটসের সাহায্যে আপনি প্রাকৃতিকভাবে একটি বন্দর দখল করতে পারেন। প্যাকেজ শনাক্তকারীদের সাথে, আপনি বৈধ অ্যাপ্লিকেশনগুলির অ্যাক্সেস নিয়ন্ত্রণ তালিকায় দূষিত সাব-টার্গেটগুলি যুক্ত করতে পারেন।
আইওএসে, আপনি কেবল বৈধ ইউআরএল হাইজ্যাক করতে এবং ফিশিং করতে পারেন।
কী ধরণের ডেটা ঝুঁকির মধ্যে রয়েছে?
আইক্লাউড কীচেইন ডেটা, ওয়েবসাইটসকেট এবং ইউআরএল।
এক্সএআরএ প্রতিরোধে কী করা যেতে পারে?
সেরাটি এমন একটি সিস্টেম হবে যাতে সমস্ত সম্ভাব্য যোগাযোগগুলিতে অ্যাপ্লিকেশনগুলি সুরক্ষিতভাবে প্রমাণীকরণ করা হবে। এটি অ্যাপলের কাজ।
যদি আমরা দেখতে পাই যে আমাদের কীচেইনে কিছু মুছে ফেলা হয়েছে, আমরা ভাবতে পারি যে এটি ব্যর্থতা, তবে আমরা যদি এমন কোনও রেকর্ড দেখতে পাই যা এটি তৈরি করেনি তবে এটির লক্ষণ যে কারও কাছে এটির অ্যাক্সেস ছিল।
অ্যাপলকে সিস্টেম আপডেট করতে হবে, এটি সবচেয়ে গুরুত্বপূর্ণ বিষয়। এবং যত তাড়াতাড়ি সম্ভব এটি করতে হবে।
আমার ডেটা বাধা দেওয়া হয়েছে কিনা তা জানা সম্ভব?
আইওএসে, বৈধ অ্যাপ্লিকেশনটিতে যাওয়ার আগে আমাদের অবশ্যই কমপক্ষে তাত্ক্ষণিকভাবে নকল অ্যাপটি দেখতে হবে। আমরা যদি কোনও ব্যর্থতার সন্ধান করি তবে আমরা লক্ষ্য করব, তবে তা না হলে এটি কঠিন হবে।
XARA প্রকাশিত হয়েছিল কেন?
তদন্তকারীরা গত বছর ত্রুটিটি আবিষ্কার করেছিলেন। তারা এটি অ্যাপলকে জানিয়েছে এবং কাপের্টিনো লোকেরা তাদের সমস্যাটি সমাধানের জন্য কমপক্ষে 6 মাস জিজ্ঞাসা করেছিল। 6 মাস পরে, গবেষকরা এটি প্রকাশ্যে করেছেন।
সর্বোপরি, এটি একটি দায়িত্বজ্ঞানহীনতা যা কেবল সুরক্ষা গবেষক হিসাবে নিজেকে গুরুত্বপূর্ণ হিসাবে পরিবেশন করে। এই ধরনের বাগটি আবিষ্কার করার সময় আমি কী করব তা ঠিক না হওয়া অবধি কোম্পানির সাথে কাজ করা। তারপরে এবং কেবল তখনই তিনি তথ্য প্রকাশ করবেন।
এছাড়াও গবেষকরা তা স্বীকৃতি দিয়েছেন অ্যাপল তাদের সমস্যার কথা বলার পর থেকে এটি নিয়ে কাজ করছেসুতরাং, এই সুরক্ষা ত্রুটির অস্তিত্ব প্রকাশ করা অ্যাপলকে তাড়াহুড়ো করতে সাহায্য করবে না। এটি কেবল নিজের প্রচার এবং ব্যবহারকারীর ডেটা ঝুঁকিতে ফেলতে সহায়তা করবে, যেহেতু এখন কোনও দূষিত ব্যবহারকারী প্রকাশিত তথ্য ব্যবহার করতে পারে।
অন্যদিকে, অ্যাপল এই সময়ে আরও অনেক গুরুত্বপূর্ণ বাগগুলি স্থির করেছে। এবং এটি যে XARA বিপজ্জনক নয়, যদি তা না হয় তবে এটির অগ্রাধিকার দেওয়া বা আমাদের যতটা করা হচ্ছে তা সতর্ক করে দেওয়া এতটা নয়। শান্ত হওয়ার ডাক call
তাহলে আমাদের কি করা উচিত?
এক্সএআরএ হ'ল এক প্রকারের শোষণ যা অবশ্যই স্থির করতে হবে তবে এটি অবশ্যই অ্যাপল দ্বারা স্থির করা উচিত। তারা যেমন বলে iMore, যা এই নিবন্ধটির উত্স, আপনাকে আতঙ্কিত হতে হবে নাতবে ম্যাক, আইফোন বা আইপ্যাডের যে কোনও ব্যবহারকারীর সম্পর্কে অবহিত করা উচিত। অ্যাপল সমস্যা সমাধান না করা পর্যন্ত যথারীতি ব্যবসায়ের মধ্যে সেরা: সন্দেহজনক উত্স অ্যাপ্লিকেশন ডাউনলোড করবেন না। এবং আমি দুটি উদাহরণ রেখেছি: আমরা যদি অ্যাপ স্টোর থেকে কোনও অজানা বিকাশকারী থেকে একটি নতুন গেম ডাউনলোড করি এবং তারা আমাদের কীচেইন অ্যাক্সেস করার জন্য আমাদের পাসওয়ার্ড রাখতে বলি, আমরা এটি করি না। এবং আপনার ডিভাইসে জেলব্রেক ব্যবহারকারীদের সাথে একই, তবে এই ক্ষেত্রেও অফিসিয়াল সংগ্রহস্থলগুলি থেকে টুইটগুলি ব্যবহার করা গুরুত্বপূর্ণ.
সর্বদা হিসাবে, আপনার নিবন্ধগুলি খুব উদ্দেশ্যমূলক এবং আকর্ষণীয়, মেক্সিকো থেকে অভিবাদন!