জিরো-ক্লিক অ্যাপল শর্টকাট দুর্বলতা নীরব ডেটা চুরির অনুমতি দেয়

অ্যাপল শর্টকাটগুলিতে একটি বিপজ্জনক দুর্বলতা সামনে এসেছে, যা ব্যবহারকারীকে অনুমতি দেওয়ার জন্য জিজ্ঞাসা না করেই আক্রমণকারীদের ডিভাইস জুড়ে সংবেদনশীল ডেটাতে অ্যাক্সেস দিতে পারে।

অ্যাপলের শর্টকাট অ্যাপ্লিকেশন, ম্যাকওএস এবং আইওএসের জন্য ডিজাইন করা হয়েছে, কাজগুলি স্বয়ংক্রিয় করার লক্ষ্যে। ব্যবসার জন্য, এটি ব্যবহারকারীদের তাদের ডিভাইসে নির্দিষ্ট কাজ সম্পাদনের জন্য ম্যাক্রো তৈরি করতে দেয় এবং তারপর ওয়েব অটোমেশন থেকে স্মার্ট-ফ্যাক্টরি ফাংশন পর্যন্ত সবকিছুর জন্য ওয়ার্কফ্লোতে তাদের একত্রিত করে। এইগুলি তখন সহকর্মী এবং অংশীদারদের সাথে iCloud এবং অন্যান্য প্ল্যাটফর্মের মাধ্যমে অনলাইনে ভাগ করা যেতে পারে।

একটি মতে বিটডিফেন্ডার থেকে বিশ্লেষণ আজকে, দুর্বলতা (CVE-2024-23204) একটি দূষিত শর্টকাট ফাইল তৈরি করা সম্ভব করে যা অ্যাপলের স্বচ্ছতা, সম্মতি এবং নিয়ন্ত্রণ (টিসিসি) সুরক্ষা কাঠামোকে বাইপাস করতে সক্ষম হবে, যা নিশ্চিত করে যে অ্যাপগুলি স্পষ্টভাবে অনুমতির অনুরোধ করে। নির্দিষ্ট ডেটা বা কার্যকারিতা অ্যাক্সেস করার আগে ব্যবহারকারীর কাছ থেকে।

এর মানে হল যে যখন কেউ তাদের লাইব্রেরিতে একটি দূষিত শর্টকাট যোগ করে, এটি ব্যবহারকারীকে অ্যাক্সেসের অনুমতি না দিয়েই নীরবে সংবেদনশীল ডেটা এবং সিস্টেমের তথ্য চুরি করতে পারে। তাদের প্রুফ-অফ-কনসেপ্ট (PoC) শোষণে, বিটডিফেন্ডার গবেষকরা তখন একটি এনক্রিপ্ট করা ইমেজ ফাইলে ডেটা এক্সফিল্ট করতে সক্ষম হন।

"দক্ষ টাস্ক ম্যানেজমেন্টের জন্য শর্টকাটগুলি একটি বহুল ব্যবহৃত বৈশিষ্ট্য হওয়ায়, দুর্বলতা বিভিন্ন শেয়ারিং প্ল্যাটফর্মের মাধ্যমে দূষিত শর্টকাটগুলির অসাবধানতাবশত প্রচারের বিষয়ে উদ্বেগ বাড়ায়," রিপোর্টে উল্লেখ করা হয়েছে৷

বাগটি macOS Sonoma 14.3, iOS 17.3, এবং iPadOS 17.3-এর পূর্ববর্তী সংস্করণগুলি চলমান macOS এবং iOS ডিভাইসগুলির জন্য হুমকিস্বরূপ এবং এটি কমন ভালনারেবিলিটি স্কোরিং সিস্টেম (CVSS) এ সম্ভাব্য 7.5 (উচ্চ) এর মধ্যে 10 রেট করা হয়েছে কারণ এটি হতে পারে কোনো প্রয়োজনীয় সুযোগ-সুবিধা ছাড়াই দূর থেকে শোষিত।

অ্যাপল বাগটি প্যাচ করেছে, এবং "আমরা ব্যবহারকারীদের অনুরোধ করছি যে তারা অ্যাপল শর্টকাট সফ্টওয়্যারের সর্বশেষ সংস্করণটি চালাচ্ছে তা নিশ্চিত করার জন্য," বলেছেন বিটডিফেন্ডারের হুমকি গবেষণা এবং প্রতিবেদনের পরিচালক বোগদান বোতেজাতু৷

অ্যাপল নিরাপত্তা দুর্বলতা: আরও সাধারণ

অক্টোবরে, Accenture প্রকাশিত হয়েছে একটি প্রতিবেদন যা 2019 সাল থেকে ম্যাকোসকে লক্ষ্য করে ডার্ক ওয়েবের হুমকি অভিনেতাদের দশগুণ বৃদ্ধি প্রকাশ করে — প্রবণতা অব্যাহত রাখার জন্য প্রস্তুত।

ফলাফলের উত্থানের সাথে মিলে যায় অত্যাধুনিক macOS infostealers অ্যাপলের অন্তর্নির্মিত সনাক্তকরণকে বাইপাস করার জন্য তৈরি করা হয়েছে। এবং ক্যাসপারস্কি গবেষকরা সম্প্রতি আবিষ্কৃত macOS ম্যালওয়্যার বিটকয়েন এবং এক্সোডাস ক্রিপ্টোওয়ালেটগুলিকে লক্ষ্য করে, ক্ষতিকারক সফ্টওয়্যারটি আপোসকৃত সংস্করণগুলির সাথে আসল অ্যাপগুলিকে প্রতিস্থাপন করে৷

বাগগুলিও প্রকাশ পেতে থাকে, যা প্রাথমিক অ্যাক্সেসকে সহজ করে তোলে। উদাহরণস্বরূপ, এই বছরের শুরুতে অ্যাপল একটি শূন্য-দিনের দুর্বলতা (CVE-2024-23222) ঠিক করেছে সাফারি ব্রাউজারের ওয়েবকিট ইঞ্জিন, একটি প্রকার বিভ্রান্তির ত্রুটির কারণে সৃষ্ট, যেখানে ইনপুট বৈধতা অনুমান শোষণের দিকে নিয়ে যেতে পারে।

সাধারণভাবে অ্যাপলের খারাপ ফলাফল এড়াতে, প্রতিবেদনটি ব্যবহারকারীদের ম্যাকওএস, আইপ্যাডওএস এবং ওয়াচওএস ডিভাইসগুলিকে সর্বশেষ সংস্করণে আপডেট করার জন্য, অবিশ্বস্ত উত্স থেকে শর্টকাটগুলি চালানোর সময় সতর্কতা অবলম্বন করার এবং Apple থেকে নিয়মিত নিরাপত্তা আপডেট এবং প্যাচগুলি পরীক্ষা করার পরামর্শ দেয়৷

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft