হোয়াটসঅ্যাপ "জিরো-ডে এক্সপ্লয়েট" সংবাদ ভীতি - আপনার যা জানা দরকার

গত দুই দিন ধরে, আমাদের নিউজ ফিড হোয়াটসঅ্যাপ সম্পর্কে সতর্কবার্তা দিয়ে গুঞ্জন করছে।

আমরা দুটি টুইটের সাথে লিঙ্ক করা অনেক প্রতিবেদন দেখেছি যেগুলি হোয়াটসঅ্যাপে দুটি শূন্য-দিনের নিরাপত্তা গর্তের অস্তিত্ব দাবি করেছে, তাদের বাগ আইডিগুলি দিয়েছে জন্য CVE-2022-36934 এবং জন্য CVE-2022-27492.

একটি নিবন্ধ, দৃশ্যত সেই টুইটগুলির উপর ভিত্তি করে, নিঃশ্বাসের সাথে জোর দিয়ে বলেছিল যে এগুলি শূন্য-দিনের বাগ ছিল না, বরং এটি অভ্যন্তরীণভাবে আবিষ্কৃত হয়েছে এবং হোয়াটসঅ্যাপ টিম নিজেই ঠিক করেছে।

সংজ্ঞা অনুসারে, তবে, ক জিরো-ডে একটি বাগকে বোঝায় যা আক্রমণকারীরা আবিষ্কার করেছিল এবং কীভাবে একটি প্যাচ উপলব্ধ হওয়ার আগে শোষণ করতে হয় তা খুঁজে বের করেছিল, যাতে এমন শূন্য দিন ছিল যেখানে এমনকি প্যাচিংয়ের ক্ষেত্রে সবচেয়ে প্রগতিশীল মনোভাব সহ সর্বাধিক সক্রিয় সিসাডমিনও গেমের আগে থাকতে পারত।

অন্য কথায়, একটি বাগ হল একটি শূন্য-দিন (প্রায়শই শুধুমাত্র একটি অঙ্ক দিয়ে লেখা হয়, এমনটি বলার সম্পূর্ণ ধারণা 0 দিনের) হল লোকেদের বোঝানো যে প্যাচটি অন্তত আগের মতোই গুরুত্বপূর্ণ, এবং সম্ভবত তার চেয়েও বেশি গুরুত্বপূর্ণ, কারণ প্যাচটি ইনস্টল করা তাদের সামনে রাখার মতো দুর্বৃত্তদের ধরার প্রশ্ন বেশি।

যদি বিকাশকারীরা নিজেরাই একটি বাগ উন্মোচন করে এবং তাদের পরবর্তী আপডেটে তাদের নিজস্ব ইচ্ছামতো প্যাচ করে তবে এটি একটি শূন্য-দিন নয়, কারণ গুড গাইসরা প্রথমে সেখানে পৌঁছেছিল।

একইভাবে নিরাপত্তা গবেষকদের নীতি অনুসরণ করলে দায়িত্বশীল প্রকাশ, যেখানে তারা একটি বিক্রেতার কাছে একটি নতুন বাগের বিশদ বিবরণ প্রকাশ করে কিন্তু একটি প্যাচ তৈরি করার জন্য বিক্রেতাকে সময় দেওয়ার জন্য একটি সম্মত সময়ের জন্য সেই বিবরণগুলি প্রকাশ না করতে সম্মত হয়, এটি একটি শূন্য-দিন নয়।

বাগটির একটি লেখা প্রকাশের জন্য একটি দায়িত্বশীল প্রকাশের সময়সীমা নির্ধারণ করা দুটি উদ্দেশ্য পূরণ করে, যথা যে গবেষকরা শেষ পর্যন্ত কাজের জন্য ক্রেডিট নিতে পারেন, যখন বিক্রেতাকে কার্পেটের নীচে সমস্যাটি পরিষ্কার করা থেকে বাধা দেওয়া হয়, জেনেও যে এটি যেভাবেই হোক বাতিল করা হবে। শেষে.

তাই, সত্য কি?

হোয়াটসঅ্যাপ কি বর্তমানে সাইরঅপরাধীদের দ্বারা সক্রিয় আক্রমণের অধীনে? এটি একটি স্পষ্ট এবং বর্তমান বিপদ?

হোয়াটসঅ্যাপ ব্যবহারকারীদের কতটা চিন্তিত হওয়া উচিত?

সন্দেহ হলে, উপদেষ্টার সাথে পরামর্শ করুন

আমরা যতদূর বলতে পারি, এই মুহুর্তে প্রচারিত প্রতিবেদনগুলি হোয়াটসঅ্যাপের নিজস্ব 2022 থেকে সরাসরি তথ্যের উপর ভিত্তি করে নিরাপত্তা উপদেষ্টা পৃষ্ঠা, যা বলে [2022-09-27T16:17:00Z]:

WhatsApp নিরাপত্তা পরামর্শ 2022 আপডেট সেপ্টেম্বর আপডেট CVE-2022-36934 একটি পূর্ণসংখ্যা ওভারফ্লো Android-এর জন্য v2.22.16.12-এর আগে, Android-এর জন্য v2.22.16.12-এর আগে ব্যবসা, v2.22.16.12-এর আগে iOS, iOS-এর জন্য ব্যবসা v2.22.16.12 এর আগে একটি প্রতিষ্ঠিত ভিডিও কলে রিমোট কোড এক্সিকিউশন হতে পারে। CVE-2022-27492 Android-এর জন্য WhatsApp-এ v2.22.16.2-এর আগে একটি পূর্ণসংখ্যা আন্ডারফ্লো, iOS v2.22.15.9-এর জন্য WhatsApp একটি তৈরি করা ভিডিও ফাইল পাওয়ার সময় রিমোট কোড এক্সিকিউশনের কারণ হতে পারে।

উভয় বাগ সম্ভাব্য নেতৃস্থানীয় হিসাবে তালিকাভুক্ত করা হয় দূরবর্তী কোড নির্বাহ, বা সংক্ষেপে RCE, যার অর্থ হল বুবি-ট্র্যাপড ডেটা অ্যাপটিকে ক্র্যাশ করতে বাধ্য করতে পারে, এবং একজন দক্ষ আক্রমণকারী ক্র্যাশের পরিস্থিতি তৈরি করতে সক্ষম হতে পারে পথে অননুমোদিত আচরণ ট্রিগার করতে।

সাধারণত, যখন একটি RCE জড়িত থাকে, তখন সেই "অননুমোদিত আচরণ" এর অর্থ হল দূষিত প্রোগ্রাম কোড বা ম্যালওয়্যার চালানো, যাতে আপনার ডিভাইসের উপর রিমোট কন্ট্রোলের কিছু রূপ নষ্ট করা যায়।

বর্ণনা থেকে, আমরা অনুমান করি যে প্রথম বাগটি ট্রিগার হওয়ার আগে একটি সংযুক্ত কলের প্রয়োজন ছিল, যখন দ্বিতীয় বাগটি অন্য সময়ে ট্রিগার হতে পারে বলে মনে হয়, উদাহরণস্বরূপ একটি বার্তা পড়ার সময় বা আপনার ডিভাইসে ইতিমধ্যে ডাউনলোড করা ফাইল দেখার সময় .

মোবাইল অ্যাপগুলি সাধারণত ল্যাপটপ বা সার্ভারের অ্যাপগুলির তুলনায় অপারেটিং সিস্টেম দ্বারা অনেক বেশি কঠোরভাবে নিয়ন্ত্রিত হয়, যেখানে স্থানীয় ফাইলগুলি সাধারণত অ্যাক্সেসযোগ্য এবং একাধিক প্রোগ্রামের মধ্যে ভাগ করা হয়।

এর মানে হল যে একটি একক মোবাইল অ্যাপের আপস সাধারণত আপনার ল্যাপটপে অনুরূপ ম্যালওয়্যার আক্রমণের চেয়ে কম ঝুঁকি তৈরি করে।

আপনার ল্যাপটপে, উদাহরণস্বরূপ, আপনার পডকাস্ট প্লেয়ার সম্ভবত ডিফল্টরূপে আপনার নথিতে উঁকি দিতে পারে, এমনকি যদি সেগুলির কোনোটিই অডিও ফাইল না হয় এবং আপনার ফটো প্রোগ্রাম সম্ভবত আপনার স্প্রেডশীট ফোল্ডারে (এবং এর বিপরীতে) রুট করতে পারে।

আপনার মোবাইল ডিভাইসে, তবে, সাধারণত অ্যাপগুলির মধ্যে অনেক কঠোর বিচ্ছেদ থাকে, যাতে, ডিফল্টরূপে, অন্ততপক্ষে, আপনার পডকাস্ট প্লেয়ার দস্তাবেজগুলি দেখতে পারে না, আপনার স্প্রেডশীট প্রোগ্রাম আপনার ফটোগুলি ব্রাউজ করতে পারে না এবং আপনার ফটো অ্যাপটি দেখতে পারে না অডিও ফাইল বা নথি দেখুন।

যাইহোক, এমনকি একটি একক "স্যান্ডবক্সড" অ্যাপে অ্যাক্সেস এবং এর ডেটা এমন সবই হতে পারে যা একজন আক্রমণকারী চায় বা প্রয়োজন, বিশেষ করে যদি সেই অ্যাপটি আপনি আপনার সহকর্মী, বন্ধু এবং পরিবারের সাথে নিরাপদে যোগাযোগ করার জন্য ব্যবহার করেন, যেমন WhatsApp।

হোয়াটসঅ্যাপ ম্যালওয়্যার যা আপনার অতীতের বার্তাগুলি পড়তে পারে, এমনকি আপনার পরিচিতিগুলির তালিকা এবং অন্য কিছু নয়, অনলাইন অপরাধীদের জন্য ডেটার ভান্ডার সরবরাহ করতে পারে, বিশেষ করে যদি তাদের লক্ষ্য হয় আপনার এবং আপনার ব্যবসা সম্পর্কে আরও জানার জন্য এটি বিক্রি করার জন্য ডার্ক ওয়েবে অন্য বদমাশদের ভিতরের তথ্য।

একটি সফ্টওয়্যার বাগ যা সাইবার সিকিউরিটি ছিদ্রগুলিকে খোলে একটি হিসাবে পরিচিত৷ দুর্বলতা, এবং যে কোনও আক্রমণ যা একটি নির্দিষ্ট দুর্বলতার ব্যবহারিক ব্যবহার করে একটি হিসাবে পরিচিত কাজে লাগান.

এবং হোয়াটসঅ্যাপ-এর যে কোনও পরিচিত দুর্বলতা যা স্নুপিংয়ের উদ্দেশ্যে কাজে লাগতে পারে তা যত তাড়াতাড়ি সম্ভব প্যাচ করা ভাল, এমনকি যদি কেউ ডেটা চুরি বা ম্যালওয়্যার স্থাপনের জন্য কোনও কার্যকরী শোষণ খুঁজে না পায়।

(সকল দুর্বলতা RCE-এর জন্য শোষণযোগ্য হয় না - কিছু বাগ পর্যাপ্ত পরিমাণে লোভনীয় হতে পারে যে এমনকি যদি সেগুলি একটি ক্র্যাশকে উস্কে দেওয়ার জন্য নির্ভরযোগ্যভাবে ট্রিগার করা যায়, বা সেবা দিতে অস্বীকার করা, ক্র্যাশ হওয়া অ্যাপটিকে সম্পূর্ণরূপে দখল করার জন্য তাদের যথেষ্ট ভালভাবে নিয়ন্ত্রণ করা যাবে না।)

কি করো?

এখানে সুসংবাদটি হল যে এখানে তালিকাভুক্ত বাগগুলি দৃশ্যত এক মাস আগে প্যাচ করা হয়েছিল, যদিও সাম্প্রতিক রিপোর্টগুলি আমরা দেখেছি যে এই ত্রুটিগুলি হোয়াটসঅ্যাপ ব্যবহারকারীদের জন্য একটি স্পষ্ট এবং বর্তমান বিপদের প্রতিনিধিত্ব করে৷

হোয়াটসঅ্যাপ অ্যাডভাইজরি পেজ যেমন উল্লেখ করেছে, এই দুটি তথাকথিত "জিরো-ডে" হোল অ্যাপের সমস্ত স্বাদে প্যাচ করা আছে, Android এবং iOS উভয়ের জন্য, সংস্করণ নম্বর সহ 2.22.16.12 বা পরে.

অ্যাপলের অ্যাপ স্টোর অনুসারে, iOS এর জন্য হোয়াটসঅ্যাপের বর্তমান সংস্করণ (মেসেঞ্জার এবং ব্যবসায়িক স্বাদ উভয়ই) ইতিমধ্যেই 2.22.19.78, উপরে উল্লিখিত বাগগুলি প্যাচ করার প্রথম সংশোধনের পর থেকে প্রকাশিত পাঁচটি মধ্যস্থতাকারী আপডেটের সাথে, যা ইতিমধ্যে এক মাস আগের তারিখ।

গুগল প্লেতে, হোয়াটসঅ্যাপ ইতিমধ্যেই আপ 2.22.19.76 (সংস্করণ সবসময় বিভিন্ন অপারেটিং সিস্টেমের মধ্যে ঠিক সারিবদ্ধ হয় না, কিন্তু প্রায়ই কাছাকাছি)।

অন্য কথায়, আপনি যদি আপনার ডিভাইসটি স্বয়ংক্রিয় আপডেটে সেট করে থাকেন, তাহলে আপনাকে ইতিমধ্যে প্রায় এক মাস ধরে এই WhatsApp হুমকির বিরুদ্ধে প্যাচ করা উচিত।

আপনি যে অ্যাপগুলি ইনস্টল করেছেন, সেগুলি শেষ কবে আপডেট করা হয়েছে এবং তাদের সংস্করণের বিশদ বিবরণ দেখতে, পেন করুন App স্টোর বা দোকান iOS এ অ্যাপ, বা খেলার দোকান অ্যান্ড্রয়েড এ

আপনার ডিভাইসে ইনস্টল করা অ্যাপগুলির তালিকা অ্যাক্সেস করতে আপনার অ্যাকাউন্ট আইকনে আলতো চাপুন, সেগুলি শেষ কবে আপডেট হয়েছে এবং বর্তমান সংস্করণ নম্বর আপনি পেয়েছেন তার বিবরণ সহ।

---