নিরাপত্তা গবেষকরা সবেমাত্র একটি বৃহৎ সাপ্লাই চেইন আক্রমণ আবিষ্কার করেছেন যা লক্ষ লক্ষ অ্যান্ড্রয়েড ডিভাইসকে প্রভাবিত করে, যা বেশ উদ্বেগজনক। আক্রমণটি বাজেট স্মার্টফোন, স্মার্টওয়াচ, স্মার্ট টিভি ইত্যাদি সহ বিভিন্ন স্মার্ট ডিভাইসকে লক্ষ্যবস্তু করে। এটা মনে হয় যে আসল সরঞ্জাম প্রস্তুতকারকদের (ওইএম) মধ্যে তীব্র প্রতিযোগিতার কারণে সমস্যা তৈরি হচ্ছে।
তাদের তদন্তের সময়, গবেষকরা সিঙ্গাপুরে অনুষ্ঠিত একটি সম্মেলনে বিষয়টি তুলে ধরেন। তারা মূল সরঞ্জাম প্রস্তুতকারকদের (OEMs) মধ্যে তীব্র প্রতিযোগিতার জন্য এই সমস্যার মূল কারণ চিহ্নিত করেছে।
নির্মাতারা অপরাধী নয়
মজার বিষয় হল, স্মার্টফোন নির্মাতারা নিজেরাই সমস্ত উপাদান তৈরি করে না। একটি গুরুত্বপূর্ণ উপাদান, ফার্মওয়্যার, প্রায়ই তৃতীয় পক্ষের সরবরাহকারীদের কাছে আউটসোর্স করা হয়। যাইহোক, মোবাইল ফোন ফার্মওয়্যারের দাম কমার কারণে, এই সরবরাহকারীরা তাদের পণ্যগুলিকে নগদীকরণ করা কঠিন বলে মনে করেছে।
ফলস্বরূপ, গবেষকরা আবিষ্কার করেছেন যে কিছু ফার্মওয়্যার ইমেজ অতিরিক্ত, অবাঞ্ছিত উপাদানগুলির সাথে এসেছে যাকে "নীরব প্লাগইন" বলা হয়। তারা হুমকি সফ্টওয়্যার, বা ম্যালওয়্যার ধারণকারী "ডজন" ফার্মওয়্যার চিত্র সনাক্ত করেছে এবং প্রায় 80 টি ভিন্ন প্লাগইন সনাক্ত করেছে। এই প্লাগইনগুলির মধ্যে কিছু একটি বৃহত্তর "ব্যবসায়িক মডেল" এর অংশ ছিল এবং ডার্ক ওয়েব ফোরামে বিক্রি হয়েছিল এবং মূলধারার সোশ্যাল মিডিয়া প্ল্যাটফর্ম এবং ব্লগগুলিতে বিজ্ঞাপন দেওয়া হয়েছিল।
ক্ষতিকারক প্লাগইনগুলি আক্রমণের মূল হতে পারে
এই সাপ্লাই চেইন আক্রমণে আবিষ্কৃত প্লাগইনগুলির বিভিন্ন ক্ষমতা রয়েছে যা ক্ষতিগ্রস্ত ডিভাইসগুলিকে মারাত্মকভাবে হুমকি দেয়৷ তাদের ব্যক্তিগত ডেটার মতো সংবেদনশীল তথ্য সংগ্রহ করার এবং SMS বার্তাগুলিতে অননুমোদিত অ্যাক্সেস পাওয়ার ক্ষমতা রয়েছে৷ অতিরিক্তভাবে, এই দূষিত প্লাগইনগুলি সোশ্যাল মিডিয়া অ্যাকাউন্টগুলির নিয়ন্ত্রণ নিতে পারে, বিজ্ঞাপনের জন্য ডিভাইসগুলিকে কাজে লাগাতে পারে এবং জালিয়াতির জন্য ক্লিক করতে পারে, ইন্টারনেট ট্র্যাফিক ম্যানিপুলেট করতে পারে এবং আরও অনেক কিছু করতে পারে৷ এই প্লাগইনগুলির দ্বারা সক্রিয় ক্ষতিকারক কার্যকলাপের পরিসর বিস্তৃত।
বিশেষ করে গবেষকদের দ্বারা হাইলাইট করা একটি প্লাগইন ক্রেতাকে পাঁচ মিনিট পর্যন্ত একটি ডিভাইসের উপর সম্পূর্ণ নিয়ন্ত্রণ প্রদান করে। এর মানে হল যে আক্রমণকারীরা তাদের হুমকিমূলক কার্যক্রম চালাতে একটি "প্রস্থান নোড" হিসাবে আপস করা ডিভাইসটি ব্যবহার করতে পারে।
তারা যে তথ্য সংগ্রহ করেছে তা নির্দেশ করে যে বিশ্বব্যাপী প্রায় নয় মিলিয়ন ডিভাইস এই সাপ্লাই চেইন আক্রমণ দ্বারা প্রভাবিত হয়েছে। বেশিরভাগ ক্ষতিগ্রস্ত ডিভাইস দক্ষিণ-পূর্ব এশিয়া এবং পূর্ব ইউরোপে কেন্দ্রীভূত। যদিও গবেষকরা স্পষ্টভাবে ম্যালওয়্যার আক্রমণের পিছনে অপরাধীদের নাম উল্লেখ করেননি, চীনের উল্লেখ বেশ কয়েকবার করা হয়েছিল, যা প্রকাশনাটিকে তার নিজস্ব সিদ্ধান্তে আঁকতে নেতৃত্ব দেয়।