আমার প্রযুক্তি
ডেস্কন গত সপ্তাহে লাস ভেগাসে অনুষ্ঠিত হয়েছিল। ইভেন্টে ডিজিটা সিকিউরিটির চিফ রিসার্চ অফিসার প্যাট্রিক ওয়ার্ডেল স্পিকার স্পষ্টভাবে এবং ম্যাকওএসে যে কোনও দুর্বলতার কারণে সমস্যার সমাধান করতে পেরেছিলেন সে সম্পর্কে বিশেষভাবে এবং গভীরভাবে কথা বলেছেন। তিনি বলেছিলেন যে কয়েকটি কোডের কোডের সাথে খেলা করে তিনি শিখেছিলেন যে সিস্টেমের ইউআইয়ের সাথে কৃত্রিম মিথস্ক্রিয়া ব্যাপক সুরক্ষা সমস্যা এবং শোষণের পথ প্রশস্ত করতে পারে।
ওয়ার্ডল দ্বারা উল্লিখিত কৃত্রিম মিথস্ক্রিয়াগুলি এমন এক ধরণের যা দূরবর্তী আক্রমণকারীদের তাদের পর্দায় উপস্থিত হওয়া জিনিসগুলিকে উদ্দেশ্য না করে ক্লিক করতে দেয়। এই ক্লিকগুলি অপ্রয়োজনীয় অনুমতি প্রদান করতে পারে এবং যদি এই ধরনের শোষণের মাধ্যমে কার্নেল এক্সটেনশান লোড করা হয় তবে পুরো অপারেটিং সিস্টেমটি সর্বোচ্চ অনুমতি নিয়ে আপস করা যেতে পারে।
এই একক ক্লিকগুলিতে অ্যাপ্লিকেশনগুলি কার্যকর করতে, কীচেইনের অনুমোদন দেওয়া, তৃতীয় পক্ষের কার্নেল এক্সটেনশানগুলি লোড করা এবং বহির্গামী নেটওয়ার্ক সংযোগের অনুমোদনের অনুমতি দেওয়ার জন্য অনুমোদন চেকপয়েন্টগুলিকে বাইপাস করার ক্ষমতা রয়েছে। সমস্ত কিছু কেবল আক্রমণকারীর সিস্টেমে অ্যাক্সেস অর্জনের, আগ্রহের কোডগুলি চালনার জন্য এবং পাশাপাশি আগ্রহের তথ্য এবং দস্তাবেজগুলি সোয়াইপ করার জন্য যথেষ্ট হয়।
বেশিরভাগ সময়, যখন আপনাকে কোনও কম্পিউটারে আপনার কম্পিউটারে যে কোনও কিছু করার জন্য জিজ্ঞাসা করার অনুমতি দেওয়ার অনুরোধ জানানো হয়, আপনি যে প্রক্রিয়াগুলি জিজ্ঞাসা করছেন তার উপর ভরসা করার বিষয়ে আপনি দুবার ভাবেন। একক ক্লিকের ম্যানিপুলেশন কৌশল আপনাকে পরিষেবাগুলি মোটেই নির্ভরযোগ্য বা সুরক্ষিত কিনা তা জেনেও পরিষেবাগুলিতে অনুমতি প্রদান করতে পারে।
যে দুর্বলতা এটির কারণ হয়, CVE-2017-7150 , এটি 10.13 এর সংস্করণের আগে ম্যাকোসের সংস্করণগুলিতে একটি ত্রুটি। এই দুর্বলতা সুবিধাবঞ্চিত আক্রমণ কোডগুলিকে একই সাথে সুরক্ষিত ডায়ালগগুলি সহ UI উপাদানগুলির সাথে ইন্টারঅ্যাক্ট করার অনুমতি দেয় যা আপনাকে এগিয়ে নিয়ে যাওয়ার অনুমতি জিজ্ঞাসা করে। ইউআইয়ের বিপরীতে এ জাতীয় সিন্থেটিক ক্লিকগুলি তৈরি করার ক্ষমতা আক্রমণকারীদের অজান্তে ব্যবহারকারীর কাছ থেকে তারা যে সমস্ত অনুমতি চায় তা পেতে অনুমতি দেয় এবং সিস্টেমে যা খুশি তা চালিয়ে যায়।
এই শূন্য দিনের শোষণকে প্রশমিত করতে অ্যাপল একটি আপডেট প্রকাশ করেছে। আপডেটটিকে 'ইউজার অ্যাসিস্টড কার্নেল এক্সটেনশন লোডিং' (কেেক্সট) বলা হয় এবং আপডেটটি নিশ্চিত করে যে একক ক্লিকের সিন্থেটিক জেনারেশন ঘটতে পারে না কারণ ব্যবহারকারীরা নিজেরাই নিজেরাই নিজের ক্লিক সম্পাদন করতে পারেন।
