সাফারি সাইড-চ্যানেল আক্রমণ ব্রাউজার চুরি সক্ষম করে

গবেষকরা অ্যাপল সিপিইউগুলির জন্য একটি পার্শ্ব-চ্যানেল শোষণ তৈরি করেছেন, যা অত্যাধুনিক আক্রমণকারীদের ব্রাউজার থেকে সংবেদনশীল তথ্য বের করতে সক্ষম করে।

পার্শ্ব-চ্যানেল আক্রমণগুলি সাধারণত উপেক্ষা করা হয়, প্রায়শই প্রথাগত সফ্টওয়্যার হ্যাকের শারীরিক প্রতিরূপ। একটি অনিরাপদ পাসওয়ার্ড বা একটি প্রোগ্রামে একটি দুর্বলতার পরিবর্তে, তারা একটি কম্পিউটার সিস্টেম বা হার্ডওয়্যার তৈরি করা অতিরিক্ত তথ্যের সুবিধা নেয় — যেমন শব্দ, আলো, বা ইলেক্ট্রোম্যাগনেটিক রেডিয়েশনের আকারে, বা নির্দিষ্ট সময় এটি সম্পূর্ণ করতে লাগে। গণনা (একটি সময় আক্রমণ).

বুধবার, চারজন গবেষক - যার মধ্যে দুজন উদ্ঘাটনের জন্য দায়ী স্পেকটার প্রসেসরের দুর্বলতা 2018 সালে ফিরে - বিস্তারিত প্রকাশ করেছে এই ধরনের একটি আক্রমণ, যাকে তারা "iLeakage" নাম দিয়েছে, যা সাম্প্রতিক সমস্ত iPhone, iPad এবং MacBook মডেলকে প্রভাবিত করে৷

গবেষকরা 12 সেপ্টেম্বর, 2022-এ অ্যাপলকে তাদের ফলাফলের কথা জানান, তাদের ওয়েবসাইট অনুযায়ী, এবং কোম্পানিটি তখন থেকে একটি প্রশমন তৈরি করেছে। যাইহোক, এটি এখনও অস্থির বলে বিবেচিত হয়, এটি ডিফল্টরূপে ডিভাইসগুলিতে সক্ষম হয় না, এবং প্রশমিত করা শুধুমাত্র ম্যাকগুলিতেই সম্ভব, মোবাইল ডিভাইসে নয়৷

ব্যাকগ্রাউন্ডে ডার্ক রিডিংকে দেওয়া মন্তব্যে, অ্যাপলের একজন মুখপাত্র লিখেছেন, “ধারণার এই প্রমাণ এই ধরনের হুমকি সম্পর্কে আমাদের বোঝার উন্নতি করে। আমরা সমস্যা সম্পর্কে সচেতন এবং এটি আমাদের পরবর্তী নির্ধারিত সফ্টওয়্যার রিলিজে সমাধান করা হবে।"

কিভাবে iLeakage কাজ করে

iLeakage A- এবং এর সুবিধা নেয় এম-সিরিজ অ্যাপল সিলিকন সিপিইউ' অনুমানমূলক মৃত্যুদন্ড সম্পাদন করার ক্ষমতা।

স্পেকুলেটিভ এক্সিকিউশন হল এমন একটি পদ্ধতি যার মাধ্যমে আধুনিক CPU গুলি তথ্য প্রক্রিয়াকরণের গতি বাড়ানোর জন্য কাজগুলিকে অনুরোধ করার আগেই পূর্বাভাস দেয়। "এই কৌশলটি প্রায় 20 বছরেরও বেশি সময় ধরে চলে আসছে, এবং আজ সমস্ত আধুনিক সিপিইউ এটি ব্যবহার করে - এটি উল্লেখযোগ্যভাবে প্রক্রিয়াকরণের গতি বাড়ায়, এমনকি সময়ের জন্য হিসাব করলে এটি প্রত্যাশিত নির্দেশাবলী ভুল হতে পারে," ব্যাখ্যা করেন ভায়াকু ল্যাবসের ভাইস প্রেসিডেন্ট জন গ্যালাঘের৷

ঘষা হল যে "CPU-এর ভিতরে ক্যাশে অনেক মূল্যবান ডেটা ধারণ করে, যা আসন্ন নির্দেশাবলীর জন্য মঞ্চস্থ করা যেতে পারে সহ। iLeakage সেই বিষয়বস্তুগুলিতে অ্যাক্সেস পেতে জাভাস্ক্রিপ্ট ব্যবহার করার জন্য একটি ব্রাউজারের ভিতরে অ্যাপল ওয়েবকিট ক্ষমতা ব্যবহার করে।"

বিশেষত, গবেষকরা অন্য ওয়েবপৃষ্ঠার বিষয়বস্তু পড়ার জন্য একটি নতুন অনুমান-ভিত্তিক গ্যাজেট ব্যবহার করেছেন যখন একজন শিকার তাদের দূষিত ওয়েবপেজে ক্লিক করে।

"একা, WebKit ক্যাশে বিষয়বস্তু প্রকাশ করতে সক্ষম হবে না, এবং না কিভাবে A-Series এবং M-Series অনুমানমূলক মৃত্যুদন্ড সম্পাদন করে - এটি দুটির সমন্বয় যা এই শোষণের দিকে পরিচালিত করে," গ্যালাঘের ব্যাখ্যা করেন।

মেল্টডাউন/স্পেক্টারের উত্তরসূরি

“এটি CPU দুর্বলতার বিরুদ্ধে আক্রমণের একটি লাইন তৈরি করে যা 2017 সালের দিকে শুরু হয়েছিল মেল্টডাউন এবং স্পেক্টর,” মেনলো সিকিউরিটির প্রধান নিরাপত্তা স্থপতি লিওনেল লিটি উল্লেখ করেছেন। "উচ্চ স্তরে, আপনি অ্যাপ্লিকেশন এবং প্রক্রিয়াগুলি সম্পর্কে চিন্তা করতে চান, এবং বিশ্বাস করেন যে হার্ডওয়্যারের সাহায্যে অপারেটিং সিস্টেম একে অপরের থেকে সঠিকভাবে বিচ্ছিন্ন করছে," কিন্তু এই দুটি শোষণ বিভিন্ন অ্যাপ্লিকেশনের মধ্যে মৌলিক বিচ্ছিন্নতা ভেঙে দিয়েছে এবং একটি অ্যাপ্লিকেশন এবং অপারেটিং সিস্টেম, যে আমরা ব্যবহারকারী হিসাবে মঞ্জুর জন্য নিতে ঝোঁক, তিনি বলেন.

iLeakage, তারপর, একটি আধ্যাত্মিক উত্তরসূরি যা ব্রাউজার ট্যাবগুলির মধ্যে বিচ্ছিন্নতা ভাঙ্গার উপর দৃষ্টি নিবদ্ধ করে।

ভাল খবর হল, তাদের ওয়েবসাইটের FAQ বিভাগে, গবেষকরা iLeakage কে "এন্ড-টু-এন্ড অর্কেস্ট্রেট করার জন্য একটি উল্লেখযোগ্যভাবে কঠিন আক্রমণ" হিসাবে বর্ণনা করেছেন, যার জন্য "ব্রাউজার-ভিত্তিক সাইড-চ্যানেল আক্রমণ এবং সাফারি বাস্তবায়নের উন্নত জ্ঞানের প্রয়োজন।" তারা আরও উল্লেখ করেছে যে সফল শোষণ বন্যতে প্রদর্শিত হয়নি।

একজন পর্যাপ্ত সক্ষম আক্রমণকারী ছিলেন সাথে এসে চেষ্টা করার জন্য, যাইহোক, এই পদ্ধতিটি যেকোন ডেটা ব্যবহারকারীর অনলাইন ট্র্যাফিক সম্পর্কে সাইফন করার জন্য যথেষ্ট শক্তিশালী: লগইন, অনুসন্ধানের ইতিহাস, ক্রেডিট কার্ডের বিবরণ, আপনার কাছে কী আছে। ভিতরে ইউটিউব ভিডিও, গবেষকরা দেখিয়েছেন কিভাবে তাদের শোষণ শিকারদের Gmail ইনবক্স, তাদের YouTube দেখার ইতিহাস এবং তাদের Instagram পাসওয়ার্ডগুলিকে প্রকাশ করতে পারে, শুধুমাত্র কয়েকটি উদাহরণ হিসাবে।

আইফোন ব্যবহারকারীরা বিশেষভাবে প্রভাবিত হয়

যদিও এটি বিশেষভাবে সাফারির জাভাস্ক্রিপ্ট ইঞ্জিনের আইডিওসিঙ্ক্রাসিসের সুবিধা নেয়, iLeakage iOS-এর সমস্ত ব্রাউজারকে প্রভাবিত করে, কারণ অ্যাপলের নীতিগুলি সমস্ত iPhone ব্রাউজার অ্যাপকে Safari-এর ইঞ্জিন ব্যবহার করতে বাধ্য করে৷

“IOS-এ Chrome, Firefox এবং Edge হল Safari-এর উপরে কেবল মোড়ক যা বুকমার্ক এবং সেটিংস সিঙ্ক্রোনাইজ করার মতো সহায়ক বৈশিষ্ট্যগুলি প্রদান করে৷ ফলস্বরূপ, অ্যাপ স্টোরে তালিকাভুক্ত প্রায় প্রতিটি ব্রাউজার অ্যাপ্লিকেশন iLeakage এর জন্য ঝুঁকিপূর্ণ," গবেষকরা ব্যাখ্যা করেছেন।

আইফোন ব্যবহারকারীরা দ্বিগুণ সমস্যায় পড়েছেন, কারণ অ্যাপল এখন পর্যন্ত যে সেরা ফিক্সটি প্রকাশ করেছে তা কেবলমাত্র ম্যাকবুকগুলিতে কাজ করে (এবং সেই ক্ষেত্রে, শুধুমাত্র একটি অস্থির অবস্থায়)। কিন্তু তার অংশের জন্য, গ্যালাঘার একটি কার্যকর প্রতিকার ডিজাইন করার অ্যাপলের ক্ষমতাকে সমর্থন করেন।

"চিপ-স্তরের দুর্বলতাগুলি প্যাচ করা সাধারণত কঠিন, এই কারণেই এটি আশ্চর্যজনক নয় যে এখনই এটির জন্য কোনও সমাধান নেই৷ এটি সময় নেবে, কিন্তু শেষ পর্যন্ত যদি এটি একটি বাস্তব শোষিত দুর্বলতা হয়ে ওঠে তবে একটি প্যাচ সম্ভবত উপলব্ধ হবে, "তিনি বলেছেন।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/vulnerabilities-threats/safari-side-channel-attack-enables-browser-theft