Pixnapping Android Flaw
সাইবার নিরাপত্তা গবেষকরা গুগল এবং স্যামসাংয়ের অ্যান্ড্রয়েড ডিভাইসগুলিকে প্রভাবিত করে এমন একটি গুরুত্বপূর্ণ দুর্বলতা চিহ্নিত করেছেন, যার নাম পিক্সন্যাপিং। এই সাইড-চ্যানেল আক্রমণটি একটি দূষিত অ্যাপকে গোপনে সংবেদনশীল ডেটা চুরি করতে দেয়, যার মধ্যে রয়েছে টু-ফ্যাক্টর অথেনটিকেশন (2FA) কোড এবং গুগল ম্যাপ টাইমলাইন, ব্যবহারকারীর অজান্তেই স্ক্রিন পিক্সেল ক্যাপচার করে। আক্রমণটি পিক্সেল-বাই-পিক্সেল ভিত্তিতে পরিচালিত হয়, যা এটিকে অত্যন্ত সুনির্দিষ্ট এবং গোপন করে তোলে।
সুচিপত্র
পিক্সন্যাপিং কীভাবে কাজ করে: মূলে পিক্সেল-চুরি
এর মূলে, পিক্সন্যাপিং হল একটি পিক্সেল-চুরির কাঠামো যা স্ট্যান্ডার্ড ব্রাউজার মিটিগেশনগুলিকে বাইপাস করে এবং গুগল অথেন্টিকেটরের মতো নন-ব্রাউজার অ্যাপগুলিকে লক্ষ্য করে তৈরি করা হয়েছে। এটি সংবেদনশীল তথ্য দ্রুত ক্যাপচার করার জন্য অ্যান্ড্রয়েড এপিআই এবং একটি হার্ডওয়্যার সাইড-চ্যানেল ব্যবহার করে, 2FA কোডগুলি 30 সেকেন্ডেরও কম সময়ে বের করা যায়।
এই আক্রমণটি অ্যান্ড্রয়েডের রেন্ডারিং পাইপলাইনকে এক অনন্য উপায়ে কাজে লাগায়:
- একটি ক্ষতিকারক অ্যাপ অ্যান্ড্রয়েড ইন্টেন্ট ব্যবহার করে ভিকটিম পিক্সেলকে রেন্ডারিং পাইপলাইনে জোর করে ঢুকিয়ে দেয়।
- এরপর এটি সেই পিক্সেলগুলিতে গণনা করার জন্য আধা-স্বচ্ছ অ্যান্ড্রয়েড কার্যকলাপের একটি স্ট্যাক প্রয়োগ করে।
এই পদ্ধতিটি 'স্টোন-স্টাইল' আক্রমণগুলিকে প্রতিফলিত করে যা পূর্বে ব্রাউজারগুলিতে সীমাবদ্ধ ছিল, এখন নেটিভ অ্যাপগুলির জন্য অভিযোজিত।
ঝুঁকিপূর্ণ ডিভাইস এবং দুর্বলতার সুযোগ
এই গবেষণায় বিশেষভাবে অ্যান্ড্রয়েড সংস্করণ ১৩ থেকে ১৬ চালিত পাঁচটি গুগল এবং স্যামসাং ডিভাইস পরীক্ষা করা হয়েছে। যদিও অন্যান্য নির্মাতাদের পরীক্ষা করা হয়নি, আক্রমণের মূল নীতিগুলি সমস্ত অ্যান্ড্রয়েড ডিভাইসেই বিদ্যমান, যা প্ল্যাটফর্মটিকে ব্যাপকভাবে সংবেদনশীল করে তোলে।
উল্লেখযোগ্যভাবে, যেকোনো অ্যান্ড্রয়েড অ্যাপ তার ম্যানিফেস্টে বিশেষ অনুমতি ছাড়াই Pixnapping চালাতে পারে। তবে, আক্রমণের জন্য ভুক্তভোগীকে ক্ষতিকারক অ্যাপটি ইনস্টল এবং চালু করতে হয়, প্রায়শই সোশ্যাল ইঞ্জিনিয়ারিং বা কৌশলের মাধ্যমে।
কারিগরি বলবিদ্যা: জিপিইউ সাইড-চ্যানেল এবং উইন্ডো ব্লার এক্সপ্লয়েটস
পিক্সন্যাপিং পূর্বে প্রকাশিত GPU.zip সাইড-চ্যানেল (সেপ্টেম্বর ২০২৩) এর উপর ভিত্তি করে তৈরি, যা ব্রাউজারগুলিতে ক্রস-অরিজিন পিক্সেল চুরি করার জন্য ইন্টিগ্রেটেড GPU-তে কম্প্রেশন বৈশিষ্ট্যগুলিকে কাজে লাগায়। নতুন আক্রমণটি অ্যান্ড্রয়েডের উইন্ডো ব্লার API-এর সাথে একত্রিত করে এই ধারণাটিকে প্রসারিত করে, যা ভিকটিম অ্যাপ থেকে পিক্সেল চুরি সক্ষম করে।
প্রক্রিয়াটি নিম্নরূপ কাজ করে:
- একটি ক্ষতিকারক অ্যাপ রেন্ডারিং পাইপলাইনে ভিকটিম অ্যাপ পিক্সেল পাঠায়।
- লক্ষ্যযুক্ত পিক্সেলগুলিকে মাস্ক, বর্ধিত এবং প্রেরণ করার জন্য অ্যান্ড্রয়েড ইন্টেন্ট ব্যবহার করে আধা-স্বচ্ছ কার্যকলাপগুলি ওভারলে করা হয়।
- সংবেদনশীল তথ্য ধারণকারী প্রতিটি পিক্সেলকে বিচ্ছিন্ন করে ক্রমানুসারে বের করা হয়।
- এটি আক্রমণকারীদের 2FA কোড বা অন্যান্য গোপনীয় বিষয়বস্তু পিক্সেল বাই পিক্সেল পুনর্গঠনের অনুমতি দেয়।
অ্যান্ড্রয়েড কেন দুর্বল: তিনটি সক্রিয়কারী কারণ
গবেষকরা তিনটি শর্ত চিহ্নিত করেছেন যা পিক্সন্যাপিংকে সম্ভব করে তোলে:
- অন্যান্য অ্যাপ থেকে অ্যাক্টিভিটিগুলি অ্যান্ড্রয়েড রেন্ডারিং পাইপলাইনে ইনজেক্ট করা।
- এই পিক্সেলগুলিতে গ্রাফিকাল ক্রিয়াকলাপ (যেমন ব্লার) প্ররোচিত করা।
- সংবেদনশীল তথ্য অনুমান করার জন্য পিক্সেল রঙ-নির্ভর পার্শ্ব প্রতিক্রিয়া পরিমাপ করা।
গুগলের প্রতিক্রিয়া এবং নিরাপত্তা আপডেট
গুগল CVE-2025-48561 (CVSS 5.5) এর অধীনে পিক্সন্যাপিং ট্র্যাক করেছে। সেপ্টেম্বর 2025 এর অ্যান্ড্রয়েড সিকিউরিটি বুলেটিনে একটি প্যাচ প্রকাশ করা হয়েছিল, যা আংশিকভাবে আক্রমণ প্রশমিত করেছিল। প্যাচটি এমন পরিস্থিতিগুলিকে সম্বোধন করে যেখানে পিক্সেল চুরি করার জন্য অতিরিক্ত ঝাপসা ব্যবহার করা যেতে পারে।
টাইমিং অ্যাডজাস্টমেন্টের মাধ্যমে পিক্সন্যাপিং পুনরায় সক্ষম করে এমন একটি নতুন আক্রমণ ভেক্টর বন্ধ করার জন্য ২০২৫ সালের ডিসেম্বরে দ্বিতীয় প্যাচটি চালু করার কথা রয়েছে। গুগল উল্লেখ করেছে যে শোষণের জন্য ডিভাইস-নির্দিষ্ট ডেটা প্রয়োজন এবং গুগল প্লেতে এই ত্রুটিটি কাজে লাগাতে কোনও সক্রিয় ম্যালওয়্যার নেই তা নিশ্চিত করেছে।
অতিরিক্ত ঝুঁকি: অ্যাপ সনাক্তকরণ এবং গোপনীয়তার প্রভাব
পিক্সন্যাপিং একজন আক্রমণকারীকে ডিভাইসে ইনস্টল করা অ্যাপ সনাক্ত করতেও সাহায্য করে, অ্যান্ড্রয়েড ১১ থেকে অ্যাপ তালিকা লুকানোর জন্য তৈরি করা বিধিনিষেধগুলিকে এড়িয়ে।
এই আক্রমণটি মোবাইল অ্যাপ লেয়ারিংয়ের অন্তর্নিহিত ঝুঁকিগুলিকে তুলে ধরে, এমন একটি সিস্টেম যেখানে অ্যাপগুলি অপারেটিং সিস্টেম জুড়ে ব্যাপকভাবে ইন্টারঅ্যাক্ট করে। লেয়ারযুক্ত অ্যাপের কার্যকারিতা সম্পূর্ণরূপে সীমাবদ্ধ করা অবাস্তব; পরিবর্তে, প্রতিরক্ষাগুলি সংবেদনশীল অ্যাপগুলিকে অপ্ট আউট করার অনুমতি দেওয়ার এবং আক্রমণকারীদের পরিমাপ করার ক্ষমতা সীমিত করার উপর ফোকাস করতে পারে।
ব্যবহারকারীদের জন্য গুরুত্বপূর্ণ বিষয়গুলি
পিক্সন্যাপিং একটি অত্যন্ত গোপন আক্রমণ যা উন্নত অ্যাপ অনুমতি ছাড়াই পরিচালিত হয়, যা এটিকে বিশেষভাবে ছলনাময় করে তোলে। ব্যবহারকারীরা যখন অবিশ্বস্ত উৎস থেকে অ্যাপ ইনস্টল করেন তখন ঝুঁকি বেড়ে যায়, কারণ ক্ষতিকারক অ্যাপ্লিকেশনগুলি সংবেদনশীল তথ্য অ্যাক্সেস করার দুর্বলতাকে কাজে লাগাতে পারে। যদিও গুগল এই সমস্যা সমাধানের জন্য আংশিক প্যাচ জারি করেছে, 2025 সালের ডিসেম্বরে সম্পূর্ণ প্রশমন আশা করা হচ্ছে। ইতিমধ্যে, ব্যবহারকারীদের সতর্ক থাকা উচিত, অস্বাভাবিক কার্যকলাপের কোনও লক্ষণের জন্য তাদের 2FA অ্যাপ এবং অন্যান্য সংবেদনশীল ডেটা নিবিড়ভাবে পর্যবেক্ষণ করা উচিত।
