মোবাইল লেনদেনগুলি আক্রমণকারীদের দ্বারা নিষ্ক্রিয়, তৈরি এবং স্বাক্ষরিত হতে পারে৷
স্মার্টফোন নির্মাতা Xiaomi, অ্যাপল এবং স্যামসাং-এর পিছনে বিশ্বের তিন নম্বর ফোন নির্মাতা, রিপোর্ট করেছে যে এটি পেমেন্ট ডেটা সঞ্চয় করতে ব্যবহৃত "বিশ্বস্ত পরিবেশে" একটি উচ্চ-তীব্রতার ত্রুটি প্যাচ করেছে যা আক্রমণের জন্য তার কিছু হ্যান্ডসেট খুলেছে।
চেক পয়েন্ট রিসার্চ এ গবেষক প্রকাশিত গত সপ্তাহে DEF CON-তে প্রকাশিত একটি প্রতিবেদনে বলা হয়েছে যে Xiaomi স্মার্টফোনের ত্রুটি হ্যাকারদের মোবাইল পেমেন্ট সিস্টেম হাইজ্যাক করতে এবং এটি নিষ্ক্রিয় করতে বা তাদের নিজস্ব জাল লেনদেন তৈরি এবং স্বাক্ষর করার অনুমতি দিতে পারে।
ভুক্তভোগীর সম্ভাব্য পুল বিশাল ছিল, বিশ্বের সাতটির মধ্যে একটি স্মার্টফোন Xiaomi দ্বারা তৈরি করা হয়, এর Q2/22 ডেটা অনুসারে Canalys. ক্যানালিসের মতে, কোম্পানিটি বিশ্বব্যাপী তৃতীয় বৃহত্তম বিক্রেতা।
“আমরা দুর্বলতার একটি সেট আবিষ্কার করেছি যা একটি সুবিধাবিহীন অ্যান্ড্রয়েড অ্যাপ্লিকেশন থেকে অর্থপ্রদানের প্যাকেজগুলি জাল করা বা পেমেন্ট সিস্টেমকে সরাসরি নিষ্ক্রিয় করার অনুমতি দিতে পারে। আমরা ওয়েচ্যাট পে হ্যাক করতে সক্ষম হয়েছি এবং ধারণার একটি সম্পূর্ণ কার্যকর প্রমাণ বাস্তবায়ন করেছি,” চেক পয়েন্টের নিরাপত্তা গবেষক স্লাভা মাকাভিভ লিখেছেন।
তিনি বলেন, চেক পয়েন্ট স্টাডিতে প্রথমবারের মতো Xiaomi-এর বিশ্বস্ত অ্যাপ্লিকেশনগুলি নিরাপত্তা সংক্রান্ত সমস্যার জন্য পর্যালোচনা করা হয়েছে। WeChat Pay হল একটি মোবাইল পেমেন্ট এবং ডিজিটাল ওয়ালেট পরিষেবা যা একই নামের একটি ফার্ম দ্বারা তৈরি করা হয়েছে, যা চীনে অবস্থিত। পরিষেবাটি 300 মিলিয়নেরও বেশি গ্রাহকদের দ্বারা ব্যবহৃত হয় এবং অ্যান্ড্রয়েড ব্যবহারকারীদের মোবাইল পেমেন্ট এবং অনলাইন লেনদেন করার অনুমতি দেয়।
ত্রুটি
এটা স্পষ্ট নয় যে কতদিন দুর্বলতা বিদ্যমান ছিল বা এটি বন্য আক্রমণকারীদের দ্বারা শোষিত হয়েছিল কিনা। বাগ, হিসাবে ট্র্যাক জন্য CVE-2020-14125, জুন মাসে Xiaomi দ্বারা প্যাচ করা হয়েছিল এবং এর একটি CVSS তীব্রতা রেটিং উচ্চ।
“কিছু Xiaomi মডেলের ফোনে পরিষেবার দুর্বলতা অস্বীকার করা আছে। এনআইএসটি সাধারণ দুর্বলতা এবং এনআইএসটি অনুসারে বাগ এক্সপোজার বিবরণ.
যদিও Xiaomi জুনে দুর্বলতা প্রকাশ করার সময় বাগটির প্রভাবের বিশদ বিবরণ সীমিত ছিল, চেক পয়েন্টের গবেষকরা তার প্যাচড বাগ এবং ত্রুটিটির সম্পূর্ণ সম্ভাব্য প্রভাবের পোস্টমর্টেমে রূপরেখা দিয়েছেন।
Xiaomi ফোনের মূল সমস্যাটি ছিল মোবাইল ফোনের পেমেন্ট পদ্ধতি এবং ফোনের ট্রাস্টেড এক্সিকিউশন এনভায়রনমেন্ট (TEE) উপাদান। TEE হল ফোনের Xiaomi এর ভার্চুয়াল এনক্লেভ, অতি-সংবেদনশীল নিরাপত্তা তথ্য যেমন আঙ্গুলের ছাপ এবং লেনদেন স্বাক্ষরে ব্যবহৃত ক্রিপ্টোগ্রাফিক কীগুলি প্রক্রিয়াকরণ এবং সংরক্ষণের জন্য দায়ী।
“প্যাচ ছাড়াই, একজন আক্রমণকারী উইচ্যাট পে কন্ট্রোল এবং পেমেন্ট প্যাকেজগুলিতে স্বাক্ষর করার জন্য ব্যবহৃত ব্যক্তিগত কীগুলি চুরি করতে পারে। সবচেয়ে খারাপ ক্ষেত্রে, একটি সুবিধাবিহীন অ্যান্ড্রয়েড অ্যাপ একটি জাল পেমেন্ট প্যাকেজ তৈরি এবং স্বাক্ষর করতে পারে, "গবেষকরা লিখেছেন।
চেক পয়েন্ট অনুযায়ী ত্রুটি সহ হ্যান্ডসেটের বিরুদ্ধে দুই ধরনের আক্রমণ করা যেত।
- একটি সুবিধাবিহীন অ্যান্ড্রয়েড অ্যাপ থেকে: ব্যবহারকারী একটি দূষিত অ্যাপ্লিকেশন ইনস্টল করে এবং এটি চালু করে। অ্যাপটি কীগুলি বের করে এবং টাকা চুরি করার জন্য একটি জাল পেমেন্ট প্যাকেট পাঠায়।
- আক্রমণকারীর হাতে টার্গেট ডিভাইস থাকলে: আক্রমণকারী ডিভাইসটিকে রুট করে, তারপর ট্রাস্ট এনভায়রনমেন্টকে ডাউনগ্রেড করে, এবং তারপর কোনো অ্যাপ্লিকেশন ছাড়াই একটি জাল পেমেন্ট প্যাকেজ তৈরি করতে কোড চালায়।
টিইই স্কিন করার দুটি উপায়
চেক পয়েন্ট অনুসারে টিইই নিয়ন্ত্রণ করা একটি মিডিয়াটেক চিপ উপাদান যা আক্রমণ পরিচালনা করার জন্য উপস্থিত থাকা প্রয়োজন। পরিষ্কার করার জন্য, ত্রুটিটি মিডিয়াটেক চিপে ছিল না - তবে বাগটি শুধুমাত্র মিডিয়াটেক প্রসেসরের সাথে কনফিগার করা ফোনগুলিতে কার্যকর করা যেতে পারে।
"এশীয় বাজার," গবেষকরা উল্লেখ করেছেন, "প্রধানত মিডিয়াটেক চিপগুলির উপর ভিত্তি করে স্মার্টফোন দ্বারা প্রতিনিধিত্ব করা হয়।" Xiaomi ফোনগুলি যেগুলি MediaTek চিপগুলিতে চালিত হয় সেগুলি "Kinibi" নামক একটি TEE আর্কিটেকচার ব্যবহার করে, যার মধ্যে Xiaomi তাদের নিজস্ব বিশ্বস্ত অ্যাপ্লিকেশনগুলি এম্বেড এবং স্বাক্ষর করতে পারে৷
"সাধারণত, কিনিবি OS-এর বিশ্বস্ত অ্যাপগুলির MCLF ফর্ম্যাট থাকে" - Mobicore লোডযোগ্য ফর্ম্যাট - "কিন্তু Xiaomi তাদের নিজস্ব একটি নিয়ে আসার সিদ্ধান্ত নিয়েছে।" তবে তাদের নিজস্ব বিন্যাসের মধ্যে, একটি ত্রুটি ছিল: সংস্করণ নিয়ন্ত্রণের অনুপস্থিতি, যা ছাড়াই "একজন আক্রমণকারী একটি বিশ্বস্ত অ্যাপের একটি পুরানো সংস্করণ ডিভাইসে স্থানান্তর করতে পারে এবং নতুন অ্যাপ ফাইলটি ওভাররাইট করতে এটি ব্যবহার করতে পারে।" সংস্করণগুলির মধ্যে স্বাক্ষর পরিবর্তন হয় না, তাই TEE পার্থক্যটি জানে না এবং এটি পুরানোটিকে লোড করে৷
সংক্ষেপে, আক্রমণকারী ফোনের সবচেয়ে সংবেদনশীল এলাকায় Xiaomi বা MediaTek-এর দ্বারা করা যেকোনো নিরাপত্তা সংশোধনকে বাইপাস করে, সময় ফিরিয়ে নিতে পারত।
কেস-ইন-পয়েন্ট হিসাবে, গবেষকরা "টেনসেন্ট সোটার" টার্গেট করেছেন, Xiaomi-এর এমবেডেড ফ্রেমওয়ার্ক যা মোবাইল পেমেন্ট একীভূত করতে চায় এমন তৃতীয় পক্ষের অ্যাপগুলিতে একটি API প্রদান করে। Soter হল বিশ্বব্যাপী কয়েক মিলিয়ন Android ডিভাইসের জন্য ফোন এবং ব্যাকএন্ড সার্ভারের মধ্যে অর্থপ্রদান যাচাই করার জন্য দায়ী৷ গবেষকরা সোটার অ্যাপে একটি নির্বিচারে পড়ার দুর্বলতাকে কাজে লাগানোর জন্য সময় ভ্রমণ করেছিলেন। এটি তাদের লেনদেন স্বাক্ষর করতে ব্যবহৃত ব্যক্তিগত কীগুলি চুরি করার অনুমতি দেয়।
নির্বিচারে পঠিত দুর্বলতা ইতিমধ্যেই প্যাচ করা হয়েছে, যখন সংস্করণ নিয়ন্ত্রণ দুর্বলতা "স্থির করা হচ্ছে।"
উপরন্তু, গবেষকরা সোটার শোষণের জন্য আরেকটি কৌশল নিয়ে এসেছেন।
একটি নিয়মিত, সুবিধাবিহীন অ্যান্ড্রয়েড অ্যাপ্লিকেশন ব্যবহার করে, তারা সোটার কীগুলি পরিচালনার জন্য একটি API "SoterService" এর মাধ্যমে বিশ্বস্ত সোটার অ্যাপের সাথে যোগাযোগ করতে সক্ষম হয়েছিল৷ "অভ্যাসে, আমাদের লক্ষ্য হল সোটার প্রাইভেট কীগুলির একটি চুরি করা," লেখক লিখেছেন। যাইহোক, একটি ক্লাসিক হিপ ওভারফ্লো আক্রমণ করার মাধ্যমে, তারা "সম্পূর্ণভাবে টেনসেন্ট সোটার প্ল্যাটফর্মের সাথে আপস করতে" সক্ষম হয়েছিল, উদাহরণস্বরূপ, জাল অর্থপ্রদানের প্যাকেজগুলি স্বাক্ষর করার জন্য অনেক বেশি শক্তি দেয়৷
ফোন রয়ে গেছে আন-পরীক্ষা
মোবাইল পেমেন্ট ইতিমধ্যে গ্রহণ করা হয় অধিক সুবিবেচনা নিরাপত্তা গবেষকদের কাছ থেকে, যেহেতু Apple Pay এবং Google Pay এর মতো পরিষেবাগুলি পশ্চিমে জনপ্রিয়তা লাভ করে৷ কিন্তু সমস্যাটি দূরপ্রাচ্যের জন্য আরও বেশি তাৎপর্যপূর্ণ, যেখানে মোবাইল পেমেন্টের বাজার ইতিমধ্যেই এগিয়ে রয়েছে। থেকে তথ্য অনুযায়ী Statista, সেই গোলার্ধটি 2021 সালে বিশ্বব্যাপী মোবাইল পেমেন্টের পুরো দুই-তৃতীয়াংশের জন্য দায়ী ছিল – সব মিলিয়ে প্রায় চার বিলিয়ন ডলারের লেনদেন।
এবং এখনও, এশিয়ান বাজার "এখনও ব্যাপকভাবে অন্বেষণ করা হয়নি," গবেষকরা উল্লেখ করেছেন। "কেউ চিপ নির্মাতাদের পরিবর্তে Xiaomi-এর মতো ডিভাইস বিক্রেতাদের দ্বারা লিখিত বিশ্বস্ত অ্যাপ্লিকেশনগুলি যাচাই করছে না, যদিও সেখানে নিরাপত্তা ব্যবস্থাপনা এবং মোবাইল পেমেন্টের মূল বিষয়গুলি বাস্তবায়িত হয়।"
পূর্বে উল্লিখিত হিসাবে, চেক পয়েন্ট দৃঢ়ভাবে বলেছে যে এই প্রথম Xiaomi এর বিশ্বস্ত অ্যাপ্লিকেশনগুলি নিরাপত্তা সংক্রান্ত সমস্যার জন্য পর্যালোচনা করা হয়েছে।
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ফায়ারওয়াল
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- মোবাইল নিরাপত্তা
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- ভিপিএন
- দুর্বলতা
- ওয়েবসাইট নিরাপত্তা
- zephyrnet
