CVE-2024-23204 Apple এর শর্টকাট দুর্বলতা

নিরাপত্তা গবেষকরা অ্যাপলের শর্টকাট অ্যাপ্লিকেশনে একটি উল্লেখযোগ্য নিরাপত্তা ত্রুটি সম্পর্কিত বিশদ প্রকাশ করেছেন, যা একটি উচ্চ-তীব্রতার ঝুঁকি তৈরি করেছে। এই ত্রুটিটি ব্যবহারকারীর সম্মতি না নিয়েই ডিভাইসে সংবেদনশীল তথ্য অ্যাক্সেস করার জন্য একটি শর্টকাট সক্ষম করতে পারে। CVE-2024-23204 হিসাবে চিহ্নিত দুর্বলতা, 10 এর মধ্যে CVSS স্কোর 7.5। Apple 22 জানুয়ারী, 2024-এ iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 প্রকাশের মাধ্যমে এই বিশেষ দুর্বলতার সমাধান করেছে। এবং watchOS 10.3.

CVE-2024-23204 এর অধীনে, একটি শর্টকাট ব্যবহারকারীর অনুমোদনের প্রয়োজন ছাড়াই নির্দিষ্ট কর্মের জন্য সংবেদনশীল ডেটা ব্যবহার করতে পারে। অ্যাপল নিশ্চিত করেছে যে উল্লেখিত সফ্টওয়্যার আপডেটগুলিতে 'অতিরিক্ত অনুমতি চেক' প্রয়োগ করে সমস্যাটি সমাধান করা হয়েছে।

অ্যাপল শর্টকাট অ্যাপ্লিকেশন সম্পর্কে বিশদ বিবরণ

অ্যাপল শর্টকাটগুলি বিভিন্ন উদ্দেশ্যে পরিবেশন করে যা ব্যবহারকারীদের ম্যাকওএস এবং আইওএস ডিভাইস জুড়ে অনায়াসে কাজগুলি স্ট্রিমলাইন করতে দেয়। এই টুলটি অসংখ্য অ্যাকশনের স্বয়ংক্রিয়তা, দ্রুত অ্যাপের কাজ, ডিভাইস কন্ট্রোল, মিডিয়া ম্যানেজমেন্ট, মেসেজিং এবং অবস্থান-ভিত্তিক ক্রিয়াকলাপগুলিকে সহজতর করে। ব্যবহারকারীরা ফাইল ম্যানেজমেন্ট, স্বাস্থ্য এবং ফিটনেস ট্র্যাকিং, ওয়েব অটোমেশন, শিক্ষামূলক উদ্দেশ্য এবং এমনকি স্মার্ট হোম ডিভাইসগুলির সাথে বিরামহীন ইন্টিগ্রেশনের জন্য তৈরি ওয়ার্কফ্লোগুলি তৈরি করতে পারে।

ইনফোসেক গবেষকরা যারা শর্টকাট বাগ রিপোর্ট করেছেন তারা নিশ্চিত করেছেন যে এটিকে একটি দূষিত শর্টকাট তৈরি করতে অস্ত্র করা যেতে পারে যাতে এটি স্বচ্ছতা, সম্মতি এবং নিয়ন্ত্রণ (টিসিসি) নীতিগুলিকে বাইপাস করতে পারে। TCC হল একটি Apple নিরাপত্তা ফ্রেমওয়ার্ক যা প্রথম স্থানে যথাযথ অনুমতির অনুরোধ না করেই ব্যবহারকারীর ডেটাকে অননুমোদিত অ্যাক্সেস থেকে রক্ষা করার জন্য ডিজাইন করা হয়েছে।

CVE-2024-23204 ডেটা বের করার অনুমতি দেয়

CVE-2024-23204 হিসাবে চিহ্নিত নিরাপত্তা দুর্বলতা 'ইউআরএল প্রসারিত করুন' নামক একটি নির্দিষ্ট শর্টকাট অ্যাকশন থেকে উদ্ভূত হয়। এই ক্রিয়াটি t.co বা bit.ly-এর মতো পরিষেবাগুলির মাধ্যমে সংক্ষিপ্ত করা URLগুলিকে প্রসারিত এবং পরিষ্কার করার জন্য ডিজাইন করা হয়েছে, UTM ট্র্যাকিং পরামিতিগুলি দূর করে৷ এই বৈশিষ্ট্যটি ব্যবহার করা একটি ফটো থেকে একটি দূষিত ওয়েবসাইটে Base64-এনকোডেড ডেটা প্রেরণের অনুমতি দেয়৷

এই কৌশলটিতে শর্টকাটগুলির মধ্যে সংবেদনশীল ডেটা (যেমন ফটো, পরিচিতি, ফাইল এবং ক্লিপবোর্ড ডেটা) নির্বাচন করা, এটি আমদানি করা, বেস64 এনকোড বিকল্প ব্যবহার করে এটি রূপান্তর করা এবং তারপর এটিকে আপস করা সার্ভারে ফরওয়ার্ড করা জড়িত। পিলফার্ড ডেটা পরবর্তীতে ফ্লাস্ক অ্যাপ্লিকেশনের মাধ্যমে আক্রমণকারীর প্রান্তে একটি চিত্র হিসাবে ক্যাপচার করা হয় এবং সংরক্ষণ করা হয়, সম্ভাব্য ফলো-অন শোষণের জন্য মঞ্চ তৈরি করে।

যেহেতু শর্টকাটগুলি ব্যবহারকারীদের মধ্যে রপ্তানি এবং ভাগ করা যেতে পারে, শর্টকাট সম্প্রদায়ের একটি সাধারণ অভ্যাস, এই ভাগ করার প্রক্রিয়াটি দুর্বলতার সম্ভাব্য নাগালের প্রসারিত করে। ব্যবহারকারীরা অজান্তে শর্টকাট আমদানি করতে পারে যা CVE-2024-23204 শোষণ করে, শোষণের ঝুঁকি বাড়িয়ে দেয়।

CVE-2024-23204 এর মতো দুর্বলতার প্রভাব প্রশমিত করার ব্যবস্থা

চিহ্নিত দুর্বলতার বিরুদ্ধে সুরক্ষা বাড়ানোর জন্য, ব্যবহারকারীদের দৃঢ়ভাবে নিম্নলিখিত ব্যবস্থা গ্রহণ করার পরামর্শ দেওয়া হচ্ছে:

অপারেটিং সিস্টেম আপডেট করুন : নিশ্চিত করুন যে macOS, iPadOS এবং watchOS ডিভাইসগুলি সর্বশেষ সফ্টওয়্যার সংস্করণগুলি চালাচ্ছে৷ নিয়মিতভাবে অপারেটিং সিস্টেম আপডেট করা অত্যন্ত গুরুত্বপূর্ণ কারণ এতে প্রায়ই প্যাচ এবং নিরাপত্তা বর্ধিতকরণ অন্তর্ভুক্ত থাকে যা সম্ভাব্য দুর্বলতাগুলিকে মোকাবেলা করে।

শর্টকাটগুলির সাথে সতর্কতা অবলম্বন করুন : শর্টকাটগুলি কার্যকর করার সময় সতর্ক থাকুন, বিশেষ করে অবিশ্বস্ত উত্স থেকে প্রাপ্ত৷ ব্যবহারকারীদের শর্টকাটগুলি চালানোর আগে তাদের উত্স এবং বিষয়বস্তু পরীক্ষা করা উচিত যাতে অসাবধানতাবশত তাদের ডিভাইসগুলিকে নিরাপত্তা হুমকির সম্মুখীন হওয়ার ঝুঁকি কমাতে হয়।

নিয়মিত আপডেটের জন্য চেক করুন : অ্যাপল দ্বারা প্রদত্ত নিরাপত্তা আপডেট এবং প্যাচগুলি নিয়মিত পরীক্ষা করে সতর্ক থাকুন। সম্ভাব্য শোষণ এবং দুর্বলতাগুলির বিরুদ্ধে একটি শক্তিশালী প্রতিরক্ষা বজায় রাখার জন্য সাম্প্রতিক সুরক্ষা রিলিজের সাথে ডিভাইসটিকে আপ-টু-ডেট বজায় রাখা মৌলিক।

এই প্রস্তাবিত অনুশীলনগুলি মেনে চলার মাধ্যমে, ব্যবহারকারীরা তাদের ডিভাইসের নিরাপত্তা ভঙ্গি উল্লেখযোগ্যভাবে শক্তিশালী করতে পারে এবং চিহ্নিত দুর্বলতার শিকার হওয়ার সম্ভাবনা কমিয়ে দেয়।