সিগন্যাল, ফেসবুক এবং গুগল চ্যাট অ্যাপের বাগ আক্রমণকারীদের ব্যবহারকারীদের উপর গুপ্তচরবৃত্তি করতে দেয়

  • প্রধান
  • খবর
  • সিগন্যাল, ফেসবুক এবং গুগল চ্যাট অ্যাপের বাগ আক্রমণকারীদের ব্যবহারকারীদের উপর গুপ্তচরবৃত্তি করতে দেয়

সিগন্যাল, ফেসবুক এবং গুগল চ্যাট অ্যাপের বাগ আক্রমণকারীদের ব্যবহারকারীদের উপর গুপ্তচরবৃত্তি করতে দেয়

একাধিক মোবাইল ভিডিও কনফারেন্সিং অ্যাপ্লিকেশনগুলিতে পাওয়া দুর্বলতাগুলি আক্রমণকারীদের অন্য প্রান্তের ব্যক্তি কলের উত্তর দেওয়ার আগে অনুমোদন ছাড়াই ব্যবহারকারীদের আশেপাশে শুনতে দেয়৷

সিগন্যাল, গুগল ডুও, ফেসবুক মেসেঞ্জার, জিওচ্যাট এবং মোচা মেসেজিং অ্যাপে বাগ পাওয়া গেছে এবং এখন ঠিক করা হয়েছে।

যাইহোক, প্যাচ করার আগে, তারা কোড চালানোর প্রয়োজন ছাড়াই আক্রমণকারীদের ডিভাইসে অডিও স্ট্রিম করার জন্য নির্দিষ্ট ডিভাইসগুলিকে বাধ্য করা সম্ভব করেছিল।

'আমি সাতটি ভিডিও কনফারেন্সিং অ্যাপ্লিকেশনের সিগন্যালিং স্টেট মেশিন অধ্যয়ন করেছি এবং পাঁচটি দুর্বলতা খুঁজে পেয়েছি যা একটি কলিং ডিভাইসকে একটি কলিং ডিভাইসকে অডিও বা ভিডিও ডেটা প্রেরণ করতে বাধ্য করতে পারে,' ব্যাখ্যা করেছেন গুগল প্রজেক্ট জিরোর নিরাপত্তা গবেষক নাটালি সিলভানোভিচ৷ .

'তাত্ত্বিকভাবে, অডিও বা ভিডিও স্ট্রিম করার আগে কলার সম্মতি প্রদান করা পিয়ার-টু-পিয়ার সংযোগে ট্র্যাক যুক্ত করার আগে ব্যবহারকারী কলটি গ্রহণ না করা পর্যন্ত অপেক্ষা করার একটি মোটামুটি সহজ বিষয় হওয়া উচিত।

'তবে, যখন আমি প্রকৃত অ্যাপগুলো দেখেছিলাম, তারা বিভিন্ন উপায়ে স্ট্রিমিংয়ের অনুমতি দিয়েছে। তাদের বেশিরভাগই দুর্বলতার দিকে পরিচালিত করে যা প্রাপকের মিথস্ক্রিয়া ছাড়াই কলগুলিকে সংযোগ করতে দেয়।'

সিলভানোভিচ যেমন প্রকাশ করেছে, এ সংকেত ত্রুটি সেপ্টেম্বর 2019-এ প্যাচ করা ব্যবহারকারীর ইন্টারঅ্যাকশন ছাড়াই অন্য উপায়ে কল করার পরিবর্তে কলিং ডিভাইসগুলি থেকে সংযোগ বার্তা পাঠিয়ে অডিও কলটি সংযুক্ত করার অনুমতি দেয়।

দ্য Google Duo বাগ , একটি রেস শর্ত যা কলকারী দলগুলিকে মিসড কল ভিডিও প্যাকেটগুলি কলারের কাছে ফাঁস করার অনুমতি দেয়, 2020 সালের ডিসেম্বরে সমাধান করা হয়েছিল, যখন ফেসবুক মেসেঞ্জারে ত্রুটি (পূর্বে এখানে BleepingComputer দ্বারা আচ্ছাদিত) যা নভেম্বর 2020 এ কলটির উত্তর দেওয়ার আগে অডিও কলগুলিকে সংযোগ করার অনুমতি দেয়।

2020 সালের জুলাই মাসে JioChat এবং Mocha মেসেঞ্জারে দুটি অনুরূপ দুর্বলতা আবিষ্কৃত হয়েছিল, বাগ যা এটির অনুমতি দেয় JioChat অডিও পাঠানো হচ্ছে (জুলাই 2020 এ সেট) এবং ক অডিও এবং ভিডিও পাঠান Mocha (আগস্ট 2020 এ সমাধান করা হয়েছে) শোষণের পরে, ব্যবহারকারীর সম্মতি ছাড়াই।

সিলভানোভিচ টেলিগ্রাম এবং ভাইবার সহ অন্যান্য ভিডিও কনফারেন্সিং অ্যাপগুলিতেও অনুরূপ বাগগুলি সন্ধান করেছিলেন, কিন্তু কোনও সমস্যা খুঁজে পাননি।

'আমি পরীক্ষা করা বেশিরভাগ কল স্টেট মেশিনে যৌক্তিক দুর্বলতা ছিল যা কলারের সম্মতি ছাড়াই অডিও বা ভিডিও সামগ্রী এক ব্যক্তি থেকে অন্য ব্যক্তির কাছে প্রেরণ করতে দেয়,' সিলভানোভিচ অতিরিক্ত .

'এটাও লক্ষণীয় যে আমি এই অ্যাপ্লিকেশনগুলির গ্রুপ কলিং বৈশিষ্ট্যগুলি বিশ্লেষণ করিনি এবং সমস্ত রিপোর্ট করা দুর্বলতাগুলি পিয়ার-টু-পিয়ার কলিংয়ে পাওয়া গেছে। এটি একটি ভবিষ্যতের কর্মক্ষেত্র যা আরও সমস্যা প্রকাশ করতে পারে।'

সিলভানোভিচ হোয়াটসঅ্যাপ মোবাইল মেসেজিং অ্যাপে একটি গুরুতর দুর্বলতাও খুঁজে পেয়েছেন যা কেবলমাত্র একজন ব্যবহারকারী অ্যাপটিকে সম্পূর্ণরূপে ফ্রিজ বা আপস করার জন্য একটি কলের উত্তর দেওয়ার দ্বারা ট্রিগার হতে পারে।

আপনি কি মনে করেন?