Google-এর ক্লাউড প্ল্যাটফর্মে (GCP) নিরাপত্তার দুর্বলতা সাইবার আক্রমণকারীদের একটি অপসারণযোগ্য, ক্ষতিকারক অ্যাপ্লিকেশনকে একজন ভিকটিম এর Google অ্যাকাউন্টের মধ্যে লুকিয়ে রাখার অনুমতি দিতে পারে, যা অ্যাকাউন্টটিকে স্থায়ী, সনাক্ত করা যায় না এমন সংক্রমণে পরিণত করে।
"ঘোস্টটোকেন" নামক বাগটি অ্যাস্ট্রিক্স সিকিউরিটি গবেষকরা আবিষ্কার করেছেন এবং রিপোর্ট করেছেন। টিমের 20 এপ্রিল প্রকাশিত একটি বিশ্লেষণ অনুসারে, ক্ষতিকারক অ্যাপটি ক্ষতিকারকের জিমেইল অ্যাকাউন্ট পড়া, গুগল ড্রাইভ এবং গুগল ফটোতে ফাইল অ্যাক্সেস করা, গুগল ক্যালেন্ডার দেখা এবং সহ জঘন্য কার্যকলাপের একটি চমকপ্রদ অ্যারের পথ তৈরি করতে পারে। গুগল ম্যাপের মাধ্যমে অবস্থানগুলি ট্র্যাক করা।
সেই তথ্য দিয়ে সজ্জিত, আক্রমণকারীরা অত্যন্ত বিশ্বাসযোগ্য ছদ্মবেশী এবং ফিশিং আক্রমণ তৈরি করতে পারে, বা এমনকি ব্যক্তিকে শারীরিক বিপদে ফেলতে পারে।
"আরও খারাপ ক্ষেত্রে … আক্রমণকারীরা Google ড্রাইভ থেকে ফাইলগুলি মুছে ফেলতে, সামাজিক প্রকৌশল আক্রমণ করার জন্য ভিকটিমদের জিমেইল অ্যাকাউন্ট থেকে ইমেল লিখতে, Google ক্যালেন্ডার, ফটো বা ডক্স থেকে সংবেদনশীল ডেটা [এক্সফিল্টার] করতে এবং আরও অনেক কিছু করতে সক্ষম হতে পারে," গবেষকরা পোস্টে লিখেছেন.
একটি অ্যাপ যা ভিকটিমকে 'ভূত' করে
সার্জারির গুগল ক্লাউড প্ল্যাটফর্ম শেষ ব্যবহারকারীদের জন্য হাজার হাজার অ্যাপ্লিকেশনের যেকোনো একটি হোস্ট করার জন্য তৈরি করা হয়েছে, যা অন্যান্য অ্যাপ ইকোসিস্টেমের মতো, একটি অফিসিয়াল স্টোর রয়েছে যেখানে সেগুলি সহজেই ডাউনলোড করা যায় — এই ক্ষেত্রে, Google মার্কেটপ্লেস — তৃতীয়-পক্ষের বাজার সহ। একবার ব্যবহারকারীর দ্বারা ডাউনলোডের জন্য অনুমোদিত হলে, অ্যাপ্লিকেশনটি ব্যাকগ্রাউন্ডে একটি টোকেন পায়, অ্যাপটি যে অনুমতিগুলির জন্য অনুরোধ করে তার উপর ভিত্তি করে ইনস্টলারের Google অ্যাকাউন্টে অ্যাক্সেস মঞ্জুর করে৷
GhostToken দুর্বলতা ব্যবহার করে, সাইবার আক্রমণকারীরা একটি দূষিত অ্যাপ্লিকেশন তৈরি করতে পারে যা তারা একটি বৈধ উপযোগিতা বা পরিষেবা হিসাবে ছদ্মবেশ ধারণ করে অ্যাপ স্টোরগুলির একটিতে স্থাপন করতে পারে। কিন্তু একবার ডাউনলোড হয়ে গেলে, অ্যাপটি ভিকটিমের Google অ্যাকাউন্ট অ্যাপ্লিকেশন ম্যানেজমেন্ট পৃষ্ঠা থেকে নিজেকে লুকিয়ে রাখবে।
ব্যবহারকারীর জন্য, এটি মূলত অদৃশ্য হয়ে যায়।
"যেহেতু এটিই একমাত্র জায়গা যেখানে Google ব্যবহারকারীরা তাদের অ্যাপ্লিকেশনগুলি দেখতে এবং তাদের অ্যাক্সেস প্রত্যাহার করতে পারে, তাই শোষণটি Google অ্যাকাউন্ট থেকে দূষিত অ্যাপটিকে অপসারণযোগ্য করে তোলে," বিশ্লেষণ অনুসারে। “অন্যদিকে আক্রমণকারী, তাদের ইচ্ছামত, তাদের আবেদনটি লুকিয়ে রাখতে পারে এবং শিকারের অ্যাকাউন্ট অ্যাক্সেস করতে টোকেন ব্যবহার করতে পারে এবং তারপরে অপসারণযোগ্য অবস্থা পুনরুদ্ধার করতে দ্রুত অ্যাপ্লিকেশনটিকে আবার লুকিয়ে রাখতে পারে। অন্য কথায়, আক্রমণকারী শিকারের অ্যাকাউন্টে একটি 'ভূত' টোকেন ধরে রেখেছে।”
অ্যাস্ট্রিক্স-এর গবেষক ইদান গৌর বলেছেন যে এই ত্রুটিটি ব্যবসা এবং ব্যক্তি উভয়ের জন্যই সুদূরপ্রসারী পরিণতি হতে পারে এবং এটি আমাদের জীবনে ক্লাউড অ্যাপগুলির কতটা অ্যাক্সেস রয়েছে এবং বিপদগুলি মনে রাখার জন্য এটি একটি জাগরণ কল হিসাবে কাজ করে। যে ছায়া আইটি উদ্যোগের জন্য থাকতে পারে.
"এই নির্দিষ্ট দুর্বলতা একদিকে সাইবার আক্রমণকারীদের সাংগঠনিক GCP পরিবেশে অ্যাক্সেস করার অনুমতি দিয়েছে, কিন্তু অন্যদিকে, মানুষের ব্যক্তিগত Google Photos এবং তাদের ইমেল অ্যাকাউন্টগুলিতে," তিনি বলেছেন। "এটা মনে রাখা যোগ্য যে এই বিভিন্ন পরিষেবা যা আমরা প্রতিদিন সবকিছুর জন্য ব্যবহার করি আসলে এই ধরণের [চ্যলেঞ্জের] প্রবণতা রয়েছে এবং এটি আমরা কীভাবে এটি ব্যবহার করি এবং অন্যদিকে, আমরা কীভাবে এটিকে সুরক্ষিত করি সে সম্পর্কে।"
একটি ফ্যান্টম ট্র্যাকিং ডাউন
যদিও বিশদ বিবরণ খুব কম, প্রযুক্তিগত সমস্যাটি সাধারণত Google যেভাবে OAuth ক্লায়েন্টদের প্রসেস করে যখন তারা ডিকমিশন হয়ে যায়, গবেষকরা বলেছেন। তৃতীয় পক্ষ OAuth ক্লায়েন্ট অন্যান্য বিশ্বস্ত ব্যবহারকারীদের সাথে বিদ্যমান প্রমাণীকরণ ব্যবহার করে ব্যবহারকারীদের আরও সহজে লগ ইন করার অনুমতি দেওয়ার জন্য প্রায়শই অ্যাপগুলিতে একত্রিত করা হয়। একটি সাধারণ উদাহরণ হল অনেক ওয়েবসাইট দ্বারা অফার করা "ফেসবুক দিয়ে লগ ইন করুন"।
এটিকে কীভাবে কাজে লাগানো যেতে পারে, এটি এই সত্য দিয়ে শুরু হয় যে Google মার্কেটপ্লেসে (বা অন্যান্য ওয়েবসাইট) Google ব্যবহারকারীদের দেওয়া প্রতিটি অ্যাপ্লিকেশন একটি একক GCP "প্রকল্প" এর সাথে যুক্ত যা এটি হোস্ট করে। যদি GCP প্রকল্পের মালিক (সাধারণত বিকাশকারী) এটি মুছে ফেলে, তাহলে এটি প্রবেশ করে যা Astrix কে "একটি লিম্বো-সদৃশ, মুলতুবি মুছে ফেলার অবস্থা" হিসাবে উল্লেখ করে এবং এটি "পুরোপুরি পরিস্কার এবং মুছে ফেলা না হওয়া পর্যন্ত 30 দিন পর্যন্ত এইভাবে থাকে।"
এই মুলতুবি-মোছা প্রকল্পগুলি সেই উদ্দেশ্যে তৈরি একটি উত্সর্গীকৃত পৃষ্ঠা থেকে মালিকের ইচ্ছায় সম্পূর্ণরূপে পুনরুদ্ধার করা যেতে পারে। যাইহোক, শেষ ব্যবহারকারীদের জন্য, অ্যাপটি "আপনার অ্যাকাউন্টে অ্যাক্সেস সহ অ্যাপস" ব্যবস্থাপনা পৃষ্ঠা থেকে অবিলম্বে অদৃশ্য হয়ে যায়।
সুতরাং, আক্রমণ দৃশ্যকল্প এই মত যায়:
- একজন শিকার একটি আপাতদৃষ্টিতে বৈধ (কিন্তু, বাস্তবে, মন্দ) OAuth অ্যাপ্লিকেশন অনুমোদন করে। পটভূমিতে, আক্রমণকারী শিকারের Google অ্যাকাউন্টের জন্য একটি টোকেন পায়।
- আক্রমণকারীরা অনুমোদিত OAuth অ্যাপ্লিকেশনের সাথে যুক্ত প্রকল্পটি মুছে দেয়, যা একটি মুলতুবি মুছে ফেলার অবস্থায় প্রবেশ করে — অ্যাপ্লিকেশনটি শিকারের দৃষ্টিকোণ থেকে লুকানো এবং অপসারণযোগ্য হয়ে যায়।
- আক্রমণকারীরা যখনই শিকারের ডেটা অ্যাক্সেস পেতে চায় তখনই তারা প্রকল্পটি পুনরুদ্ধার করে, একটি নতুন অ্যাক্সেস টোকেন পায় এবং শিকারের ডেটা অ্যাক্সেস করতে এটি ব্যবহার করে।
- আক্রমণকারীরা তখনই শিকারের কাছ থেকে আবেদনটি পুনরায় লুকিয়ে রাখে।
- অধ্যবসায় বজায় রাখার জন্য, মুলতুবি-মোছা প্রকল্পটি শুদ্ধ করার আগে আক্রমণ লুপটি পর্যায়ক্রমে কার্যকর করতে হবে।
"আক্রমণ লুপের ধাপ 2 চলাকালীন, 'আপনার অ্যাকাউন্টে অ্যাক্সেস সহ অ্যাপস' পৃষ্ঠায় অ্যাক্সেসটি পুনরায় প্রদর্শিত হয়, যার অর্থ এই সময় উইন্ডোতে শিকার প্রযুক্তিগতভাবে অ্যাপ্লিকেশনটির অ্যাক্সেস সরিয়ে ফেলতে পারে," গবেষকরা ব্যাখ্যা করেছেন। "তবে, এটি একটি খুব সীমিত সময়সীমা যা আক্রমণকারী আক্রমণ লুপের ধাপ 1 কার্যকর না করা পর্যন্ত স্থায়ী হয়।"
ব্যবহারযোগ্যতা এবং নিরাপত্তার চিরন্তন যুদ্ধ
গৌর নোট করেছেন যে দুর্বলতা একটি অস্বাভাবিক কারণ এটি একটি মূল বৈশিষ্ট্যের সাথে সম্পর্কিত যা স্পষ্টতই, এটির মতো আচরণ করে: বিকাশকারীদের ছাড়াই নমনীয়তা দেওয়া শেষ ব্যবহারকারী ডাউন অ্যাপগুলিতে নোট সহ তারা আর ব্যবহার করতে পারবে না।
"সাধারণত যখন আমরা দুর্বলতা সম্পর্কে কথা বলি, তখন এই জিনিসগুলি ভেঙে যায় যেগুলি আপনি কেবল প্যাচ করে চালিয়ে যেতে পারেন," তিনি ব্যাখ্যা করেন। “কিন্তু এই ক্ষেত্রে, এটি আসলে জিসিপির একটি মূল বৈশিষ্ট্য এবং আপনি কীভাবে জিসিপিতে প্রকল্পগুলি তৈরি করেন। আপনি অতীতে যে জিনিসগুলি করেছিলেন, যেগুলি আপনি মুছতে চাননি সেগুলিতে ফিরে যেতে সক্ষম হওয়া আসলেই সুন্দর। কিন্তু অন্যদিকে, সামান্য সৃজনশীলতার সাথে, এবং একটি খুব সরল পদ্ধতির সাথে, এটি এমন কিছুতে পরিণত হতে পারে যা এই পরিবেশের সাথে একত্রিত একটি বহিরাগত তৃতীয় পক্ষের দ্বারা পরিচয় এবং অ্যাক্সেস পরিচালনার পথকে সম্পূর্ণরূপে ভেঙে দিতে পারে ( OAuth)।"
এবং প্রকৃতপক্ষে, বাগটি ব্যবহারযোগ্যতা এবং নিরাপত্তার মধ্যে চলমান ধাক্কা-টানের কথা বলে যা একটি এন্টারপ্রাইজ পরিবেশের সমস্ত অংশে অনুভূত হয়, গৌর নোট।
"এর জন্য প্রভাব মেঘ সুরক্ষা, বিশেষত যেহেতু এটি আজকাল অনেক লোকের সংস্থা এবং ব্যক্তিগত তথ্যকে স্পর্শ করে, হ্যাঁ, কখনও কখনও এটি উত্পাদনশীলতা বা ব্যক্তিগত গতিশীলতার পথে চলে যায় এবং আমরা কি এটাই চাই?" তিনি বলেন. “আপনাকে ডিজাইন পর্ব থেকে এই জিনিসগুলি নিয়ে ভাবতে হবে এবং ব্যবহারকারীর মান এবং সুরক্ষার মধ্যে ভারসাম্যের জন্য বৈশিষ্ট্যগুলি মূল্যায়ন করতে হবে। সবকিছু বাস্তবায়িত হওয়ার আগে এটি করা অনেক, অনেক, অনেক সহজ এবং শত শত বা হাজার হাজার মানুষ এটি ব্যবহার করছে।"
ভূত আর নেই: প্রশমন এবং একটি প্যাচ
এই মাসের শুরুর দিকে, Google একটি গ্লোবাল প্যাচ চালু করেছে, একটি মুলতুবি মুছে ফেলার অবস্থায় থাকা অ্যাপগুলি এখনও ব্যবহারকারীর অ্যাপ পরিচালনার স্ক্রিনে দৃশ্যমান রয়েছে তা নিশ্চিত করে সমস্যাটি সমাধান করেছে। যাইহোক, অ্যাস্ট্রিক্স গবেষকরা সতর্ক করেছেন যে তারা সক্রিয় শোষণ সম্পর্কে সচেতন না থাকলেও, Google Workspace অ্যাডমিনিস্ট্রেটরদের উচিত এমন অ্যাপ্লিকেশনগুলি সন্ধান করা যা 7 এপ্রিল প্যাচ শুরু হওয়ার আগে ব্যবহারকারীদের আক্রমণ করতে পারে।
এটি দুটি উপায়ে করা যেতে পারে, গবেষকরা বলেছেন:
- যে অ্যাপ্লিকেশনগুলির ক্লায়েন্ট আইডি 'ডিসপ্লেটেক্সট' ফিল্ডের মতো একই তা খুঁজছেন এবং যদি তারা ক্ষতিকারক বলে প্রমাণিত হয় তবে তাদের অ্যাক্সেস সরিয়ে দেওয়া;
- অথবা এই ধরনের যেকোনো অ্যাপের টোকেন অ্যাক্টিভিটির জন্য Google Workspace-এর "অডিট অ্যান্ড ইনভেস্টিগেশন" ফিচারে OAuth লগ ইভেন্টগুলি পরিদর্শন করা।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- অ্যাড্রিয়েন অ্যাশলির সাথে ভবিষ্যত মিন্টিং। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/remote-workforce/-ghosttoken-opens-google-accounts-to-permanent-infection
- : হয়
- 1
- 20
- 7
- a
- সক্ষম
- সম্পর্কে
- প্রবেশ
- অ্যাক্সেস করা
- অনুযায়ী
- হিসাব
- অ্যাকাউন্টস
- সক্রিয়
- কার্যকলাপ
- প্রকৃতপক্ষে
- অ্যাডমিনিস্ট্রেটররা
- সব
- বরাবর
- an
- বিশ্লেষণ
- এবং
- কোন
- অ্যাপ্লিকেশন
- আবেদন
- অ্যাপ্লিকেশন
- অভিগমন
- অ্যাপস
- এপ্রিল
- রয়েছি
- বিন্যাস
- AS
- যুক্ত
- At
- আক্রমণ
- আক্রমন
- নিরীক্ষা
- প্রমাণীকরণ
- পটভূমি
- ভারসাম্য
- ভিত্তি
- মূলত
- যুদ্ধ
- BE
- কারণ
- হয়ে
- আগে
- মধ্যে
- বিট
- উভয়
- বিরতি
- ভাঙা
- নম
- নির্মিত
- ব্যবসা
- by
- ক্যালেন্ডার
- কল
- CAN
- কেস
- মামলা
- চ্যালেঞ্জ
- মক্কেল
- ক্লায়েন্ট
- মেঘ
- ক্লাউড প্ল্যাটফর্ম
- সাধারণ
- সম্পূর্ণরূপে
- ফল
- অবিরত
- মূল
- পারা
- নৈপুণ্য
- সৃষ্টি
- সৃজনশীলতা
- বিপদ
- উপাত্ত
- দিন
- দিন
- নিবেদিত
- নকশা
- বিস্তারিত
- বিকাশকারী
- ডেভেলপারদের
- DID
- বিভিন্ন
- আবিষ্কৃত
- নিচে
- ডাউনলোড
- ড্রাইভ
- ডাব
- সময়
- সহজ
- সহজে
- ইকোসিস্টেম
- ইমেইল
- ইমেল
- প্রকৌশল
- উদ্যোগ
- প্রবেশ
- পরিবেশ
- পরিবেশের
- বিশেষত
- মূল্যায়ন
- এমন কি
- ঘটনাবলী
- প্রতি
- প্রতিদিন
- সব
- উদাহরণ
- executes
- বিদ্যমান
- ব্যাখ্যা
- ব্যাখ্যা
- কাজে লাগান
- শোষণ
- শোষিত
- বহিরাগত
- অত্যন্ত
- ফেসবুক
- বহুদূরপ্রসারিত
- বৈশিষ্ট্য
- বৈশিষ্ট্য
- ক্ষেত্র
- নথি পত্র
- ত্রুটি
- নমনীয়তা
- জন্য
- ফ্রেম
- থেকে
- সম্পূর্ণরূপে
- সাধারণত
- পাওয়া
- প্রেতাত্মা
- দান
- বিশ্বব্যাপী
- Goes
- গুগল
- গুগল মানচিত্র
- মঞ্জুর হলেই
- হাত
- আছে
- he
- গোপন
- লুকান
- ঝুলিতে
- নিমন্ত্রণকর্তা
- হোস্ট
- কিভাবে
- যাহোক
- HTTPS দ্বারা
- শত শত
- ID
- পরিচয়
- অবিলম্বে
- বাস্তবায়িত
- প্রভাব
- in
- অন্যান্য
- সুদ্ধ
- ব্যক্তি
- তথ্য
- সংহত
- মধ্যে
- তদন্ত
- সমস্যা
- IT
- এর
- নিজেই
- JPG
- মত
- সীমিত
- সামান্য
- লাইভস
- অবস্থানগুলি
- আর
- দেখুন
- প্রণীত
- বজায় রাখা
- তৈরি করে
- মেকিং
- ব্যবস্থাপনা
- অনেক
- অনেক মানুষ
- মানচিত্র
- নগরচত্বর
- বাজার
- মে..
- মানে
- প্রশমন
- গতিশীলতা
- মাস
- অধিক
- নতুন
- নতুন অ্যাক্সেস
- স্বাভাবিকভাবে
- নোট
- শপথ
- of
- প্রদত্ত
- কর্মকর্তা
- on
- ONE
- নিরন্তর
- কেবল
- প্রর্দশিত
- or
- সাংগঠনিক
- সংগঠন
- অন্যান্য
- আমাদের
- মালিক
- পৃষ্ঠা
- যন্ত্রাংশ
- পার্টি
- গত
- তালি
- মুলতুবী
- সম্প্রদায়
- সম্পাদন করা
- স্থায়ী
- অনুমতি
- অধ্যবসায়
- ব্যক্তি
- ব্যক্তিগত
- পরিপ্রেক্ষিত
- ফেজ
- ফিশিং
- ফিশিং আক্রমণ
- দা
- শারীরিক
- জায়গা
- মাচা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- দয়া করে
- ব্যক্তিগত
- ব্যক্তিগত তথ্য
- প্রসেস
- প্রমোদ
- প্রকল্প
- প্রকল্প
- প্রমাণ করা
- উদ্দেশ্য
- দ্রুত
- RE
- পড়া
- বাস্তবতা
- পায়
- বোঝায়
- সংশ্লিষ্ট
- মুক্ত
- মনে রাখা
- স্মরন
- অপসারণ
- সরানোর
- রিপোর্ট
- গবেষক
- গবেষকরা
- প্রত্যাবর্তন করা
- ঘূর্ণিত
- s
- বলেছেন
- একই
- বলেছেন
- দৃশ্যকল্প
- স্ক্রিন
- নিরাপদ
- নিরাপত্তা
- সুরক্ষা দুর্বলতা
- সংবেদনশীল
- স্থল
- সেবা
- সেবা
- উচিত
- পাশ
- থেকে
- একক
- So
- সামাজিক
- সামাজিক প্রকৌশলী
- কিছু
- স্পিক্স
- নির্দিষ্ট
- শুরু
- রাষ্ট্র
- ধাপ
- এখনো
- দোকান
- দোকান
- অকপট
- এমন
- আলাপ
- টীম
- কারিগরী
- যে
- সার্জারির
- তাদের
- তাহাদিগকে
- এইগুলো
- কিছু
- চিন্তা
- তৃতীয়
- তৃতীয় পক্ষের
- এই
- হাজার হাজার
- সময়
- থেকে
- টোকেন
- অনুসরণকরণ
- বিশ্বস্ত
- পরিণত
- ব্যবহারযোগ্যতা
- ব্যবহার
- ব্যবহারকারী
- ব্যবহারকারী
- সাধারণত
- উপযোগ
- মূল্য
- মাধ্যমে
- শিকার
- দৃশ্যমান
- দুর্বলতা
- দুর্বলতা
- ছিল
- উপায়..
- উপায়
- we
- ওয়েবসাইট
- কি
- যে
- যখন
- ইচ্ছা
- সঙ্গে
- মধ্যে
- ছাড়া
- শব্দ
- মূল্য
- লেখা
- আপনি
- আপনার
- zephyrnet