গুগল কিছু অ্যান্ড্রয়েড ফোন ব্যবহারকারীদের বলে: সংক্রমণ এড়াতে নিউকে ভয়েস কলিং

Google কিছু নির্দিষ্ট অ্যান্ড্রয়েড ফোনের মালিকদের গুরুতর দুর্বলতা থেকে নিজেদের রক্ষা করার জন্য জরুরি পদক্ষেপ নেওয়ার জন্য আহ্বান জানাচ্ছে যা দক্ষ হ্যাকারদের তাদের নম্বরে একটি বিশেষভাবে তৈরি করা কল করে গোপনে তাদের ডিভাইসগুলির সাথে আপস করার ক্ষমতা দেয়৷ এটা স্পষ্ট নয় যে সমস্ত ক্রিয়াকলাপ এমনকি সম্ভব কিনা, তবে, এবং যদিও সেগুলি হয়, ব্যবস্থাগুলি বেশিরভাগ ভয়েস-কলিং ক্ষমতার ডিভাইসগুলিকে নিরপেক্ষ করবে৷

দুর্বলতা Android ডিভাইসগুলিকে প্রভাবিত করে যেগুলি Samsung এর সেমিকন্ডাক্টর বিভাগ দ্বারা তৈরি Exynos চিপসেট ব্যবহার করে৷ দুর্বল ডিভাইসগুলির মধ্যে রয়েছে Pixel 6 এবং 7, Samsung Galaxy S22-এর আন্তর্জাতিক সংস্করণ, বিভিন্ন মিড-রেঞ্জের Samsung ফোন, Galaxy Watch 4 এবং 5, এবং Exynos Auto T5123 চিপ সহ গাড়ি। এই ডিভাইসগুলি শুধুমাত্র তখনই দুর্বল হয় যদি তারা Exynos চিপসেট চালায়, যার মধ্যে রয়েছে বেসব্যান্ড যা ভয়েস কলের জন্য সিগন্যাল প্রসেস করে। Galaxy S22-এর ইউএস সংস্করণ একটি Qualcomm Snapdragon চিপ চালায়।

CVE-2023-24033 হিসাবে ট্র্যাক করা একটি বাগ এবং অন্য তিনটি যেগুলি এখনও একটি CVE উপাধি গ্রহণ করেনি হ্যাকারদের পক্ষে দূষিত কোড চালানো সম্ভব করে তোলে, Google এর প্রজেক্ট জিরো দুর্বলতা দল রিপোর্ট বৃহস্পতিবার. বেসব্যান্ডে কোড এক্সিকিউশন বাগগুলি বিশেষভাবে গুরুত্বপূর্ণ হতে পারে কারণ ভয়েস কলগুলি নির্ভরযোগ্যভাবে কাজ করে তা নিশ্চিত করার জন্য চিপগুলি রুট-লেভেল সিস্টেমের বিশেষাধিকারগুলির সাথে সমৃদ্ধ।

প্রজেক্ট জিরোর টিম উইলিস লিখেছেন, “প্রজেক্ট জিরো দ্বারা পরিচালিত পরীক্ষাগুলি নিশ্চিত করে যে এই চারটি দুর্বলতা একজন আক্রমণকারীকে কোনও ব্যবহারকারীর ইন্টারঅ্যাকশন ছাড়াই বেসব্যান্ড স্তরে একটি ফোনকে দূরবর্তীভাবে আপোস করতে দেয় এবং শুধুমাত্র আক্রমণকারীকে শিকারের ফোন নম্বর জানার প্রয়োজন হয়”। “সীমিত অতিরিক্ত গবেষণা এবং বিকাশের সাথে, আমরা বিশ্বাস করি যে দক্ষ আক্রমণকারীরা দ্রুত একটি অপারেশনাল শোষণ তৈরি করতে সক্ষম হবে যাতে প্রভাবিত ডিভাইসগুলিকে নীরবে এবং দূরবর্তীভাবে আপস করতে পারে।”

এই মাসের শুরুতে, Google দুর্বল পিক্সেল মডেলগুলির জন্য একটি প্যাচ প্রকাশ করেছে। Samsung একটি আপডেট প্যাচিং CVE-2023-24033 প্রকাশ করেছে, তবে এটি রয়েছে এখনও বিতরণ করা হয়নি শেষ ব্যবহারকারীদের জন্য। স্যামসাং অন্য তিনটি গুরুতর দুর্বলতার জন্য প্যাচ জারি করেছে এমন কোনও ইঙ্গিত নেই। যতক্ষণ না দুর্বল ডিভাইসগুলি প্যাচ করা হয়, ততক্ষণ পর্যন্ত তারা আক্রমণের জন্য ঝুঁকিপূর্ণ থাকে যা সম্ভাব্য গভীরতম স্তরে অ্যাক্সেস দেয়।

হুমকিটি উইলিসকে এই পরামর্শটি বৃহস্পতিবারের পোস্টের একেবারে শীর্ষে রাখতে প্ররোচিত করেছিল:

নিরাপত্তা আপডেট উপলব্ধ না হওয়া পর্যন্ত, যে ব্যবহারকারীরা Samsung এর Exynos চিপসেটে বেসব্যান্ড রিমোট কোড এক্সিকিউশন দুর্বলতা থেকে নিজেদের রক্ষা করতে চান তারা তাদের ডিভাইস সেটিংসে Wi-Fi কলিং এবং ভয়েস-ওভার-LTE (VoLTE) বন্ধ করতে পারেন। এই সেটিংস বন্ধ করা এই দুর্বলতাগুলির শোষণের ঝুঁকিকে সরিয়ে দেবে৷

সমস্যা হল, এটি সম্পূর্ণরূপে পরিষ্কার নয় যে অন্তত অনেক মডেলে VoLTE বন্ধ করা সম্ভব। একজন S22 ব্যবহারকারীর স্ক্রিনশট Reddit এ পোস্ট করা হয়েছে গত বছর দেখায় যে VoLTE বন্ধ করার বিকল্পটি ধূসর হয়ে গেছে। যখন সেই ব্যবহারকারীর S22 একটি স্ন্যাপড্রাগন চিপ চালাচ্ছিল, এক্সিনোস-ভিত্তিক ফোনগুলির ব্যবহারকারীদের অভিজ্ঞতা সম্ভবত একই রকম।

এবং এমনকি যদি VoLTE বন্ধ করা সম্ভব হয়, তাহলে Wi-Fi বন্ধ করার সাথে সাথে এটি করা ফোনগুলিকে অ্যান্ড্রয়েড চালিত ছোট ট্যাবলেটগুলির থেকে সামান্য বেশি করে তুলতে পারে। VoLTE কয়েক বছর আগে ব্যাপকভাবে ব্যবহারে এসেছিল, এবং তারপর থেকে উত্তর আমেরিকার বেশিরভাগ ক্যারিয়ার পুরানো 3G এবং 2G ফ্রিকোয়েন্সি সমর্থন করা বন্ধ করে দিয়েছে।

স্যামসাং প্রতিনিধিরা একটি ইমেলে বলেছে যে কোম্পানিটি মার্চ মাসে ছয়টি দুর্বলতার মধ্যে পাঁচটির জন্য সুরক্ষা প্যাচ প্রকাশ করেছে যা “সম্ভাব্যভাবে নির্বাচিত গ্যালাক্সি ডিভাইসগুলিকে প্রভাবিত করতে পারে” এবং আগামী মাসে ষষ্ঠ ত্রুটিটি প্যাচ করবে। ইমেলটি এমন প্রশ্নের উত্তর দেয়নি যে প্যাচগুলির কোনওটি এখন শেষ ব্যবহারকারীদের জন্য উপলব্ধ কিনা বা VoLTE বন্ধ করা সম্ভব কিনা।

Google এর একজন প্রতিনিধি, ইতিমধ্যে, প্রজেক্ট জিরো লিখতে পরামর্শটি কার্যকর করার জন্য নির্দিষ্ট পদক্ষেপগুলি প্রদান করতে অস্বীকার করেছেন। যে পাঠকরা একটি উপায় বের করেছেন তাদের মন্তব্য বিভাগে প্রক্রিয়াটি ব্যাখ্যা করার জন্য আমন্ত্রণ জানানো হয়েছে (যদি সম্ভব হয় স্ক্রিনশট সহ)।

বাগগুলির তীব্রতা এবং দক্ষ হ্যাকারদের দ্বারা শোষণের সহজতার কারণে, বৃহস্পতিবারের পোস্টে প্রযুক্তিগত বিবরণ বাদ দেওয়া হয়েছে। এটার ভিতর পণ্য নিরাপত্তা আপডেট পৃষ্ঠাস্যামসাং CVE-2023-24033 কে “এসডিপি অ্যাট্রিবিউট গ্রহণ-টাইপ প্রক্রিয়া করার সময় মেমরি দুর্নীতি” হিসাবে বর্ণনা করেছে৷

“বেসব্যান্ড সফ্টওয়্যারটি এসডিপি দ্বারা নির্দিষ্ট করা অ্যাকসেপ্ট-টাইপ অ্যাট্রিবিউটের ফর্ম্যাট প্রকারগুলি সঠিকভাবে পরীক্ষা করে না, যা স্যামসাং বেসব্যান্ড মডেমে পরিষেবা অস্বীকার বা কোড সম্পাদনের কারণ হতে পারে,” পরামর্শ যোগ করেছে৷ “এই দুর্বলতার প্রভাব কমাতে ব্যবহারকারীরা WiFi কলিং এবং VoLTE অক্ষম করতে পারেন।”

সার্ভিস ডিসকভারি প্রোটোকল স্তরের জন্য সংক্ষিপ্ত, এসডিপি ব্লুটুথের মাধ্যমে অন্যান্য ডিভাইস থেকে উপলব্ধ পরিষেবাগুলি আবিষ্কারের অনুমতি দেয়। আবিষ্কারের পাশাপাশি, SDP অ্যাপ্লিকেশনগুলিকে সেই পরিষেবাগুলির প্রযুক্তিগত বৈশিষ্ট্যগুলি নির্ধারণ করতে দেয়৷ SDP যোগাযোগের জন্য ডিভাইসগুলির জন্য একটি অনুরোধ/প্রতিক্রিয়া মডেল ব্যবহার করে।

হুমকিটি গুরুতর, কিন্তু আবারও, এটি শুধুমাত্র প্রভাবিত মডেলগুলির একটির এক্সিনোস সংস্করণ ব্যবহার করা লোকেদের জন্য প্রযোজ্য। এবং আবারও, গুগল পিক্সেল ব্যবহারকারীদের জন্য এই মাসের শুরুতে একটি প্যাচ জারি করেছে।

যতক্ষণ না স্যামসাং বা গুগল আরও কিছু বলছে, দুর্বল থাকা ডিভাইসগুলির ব্যবহারকারীদের উচিত (1) একটি প্যাচিং CVE-2023-24033-এর জন্য কড়া নজর রেখে সমস্ত উপলব্ধ নিরাপত্তা আপডেট ইনস্টল করা, (2) Wi-Fi কলিং বন্ধ করা এবং (3) VoLTE বন্ধ করা সম্ভব কিনা তা দেখতে তাদের নির্দিষ্ট মডেলের সেটিংস মেনু অন্বেষণ করুন। এই পোস্টটি আপডেট করা হবে যদি কোন একটি কোম্পানি আরো দরকারী তথ্য সহ সাড়া দেয়।