বিপদের মুখে লক্ষ লক্ষ Android ব্যবহারকারী, ম্যালওয়্যারের ঝুঁকি এই দুই সংস্থার স্মার্টফোনে

Samsung and LG Smartphone Risk Malware

একটি অ্যান্ড্রয়েড সার্টিফিকেট হঠাৎই অনলাইনে ফাঁস হয়েছে আর তারপরই থেকেই বহু স্মার্টফোনে সাংঘাতিক ম্যালওয়্যার আক্রমণ হতে পারে বলে আশঙ্কা করা হচ্ছে। আজ্ঞে হ্যাঁ, এই ফাঁস হওয়া সার্টিফিকেটিই লক্ষ লক্ষ ডিভাইসকে ম্যালওয়্যার আক্রমণের ঝুঁকিতে ফেলেছে৷ একটাই আশার খবর যে, এই লিকটি সমস্ত অ্যান্ড্রয়েড ব্যবহারকারীদের ডিভাইসকে প্রভাবিত করবে না, কিন্তু স্যামসাং (Samsung) এবং এলজি (LG) ব্যবহারকারীরা এই খবরটি শুনে আশ্বস্ত হবেন না৷ কেননা স্যামসাং এবং এলজি-এর যেসমস্ত স্মার্টফোনে মিডিয়াটেক (MediaTek) চিপসেট ব্যবহার করা হয়েছে, সেই সবকটি মডেলই এই ম্যালওয়্যার দ্বারা প্রভাবিত হওয়ার ঝুঁকি রয়েছে৷ আসুন এই সমস্যাটির গভীরে গিয়ে বিষয়টি সম্পর্কে বিস্তারিতভাবে জেনে নেওয়া যাক।

Samsung এবং LG-এর হ্যান্ডসেটে ম্যালওয়্যারের আশঙ্কা

বর্তমানে, গুগল কর্মচারী এবং ম্যালওয়্যার রিভার্স ইঞ্জিনিয়ার লুকাসজ সুয়েরস্কি রিপোর্ট করেছেন যে বিভিন্ন অ্যান্ড্রয়েড ওইএম-এর সার্টিফিকেট সর্বজনীনভাবে পোস্ট করা হয়েছে। ক্ষতিকারক অ্যাক্টররা গ্রাহকদের স্মার্টফোনে ম্যালওয়্যার ইনস্টল করতে এই কীগুলি ব্যবহার করতে পারে। এটি ম্যালওয়্যার দ্বারা ফোন সংক্রমিত করতে ব্যবহার করা হতে পারে। এই সাইন-ইন কীটিতে ওএস রাইটের সর্বোচ্চ স্তর রয়েছে, যা তাৎপর্যপূর্ণ কারণ এর অর্থ হল হ্যাকাররা গুগল, ডিভাইসের নির্মাতা বা অ্যাপ ডেভেলপারকে এটি সম্পর্কে না জানতে দিয়েই ম্যালওয়্যার প্রবেশ করাতে পারে৷ তাত্ত্বিকভাবে, গ্রাহকরা যদি থার্ড পার্টি ওয়েবসাইট থেকে আপডেট ডাউনলোড করেন, তাহলে হ্যাকাররা একটি বৈধ অ্যাপ আপডেট হিসেবে দেখিয়ে, সেইসময় ডিভাইসে ম্যালওয়্যার ইনজেক্ট করতে পারে।

এছাড়া, সিস্টেম ইমেজে “অ্যান্ড্রয়েড” অ্যাপ্লিকেশন সাইন করার জন্য ব্যবহৃত অ্যাপ্লিকেশন সাইনিং সার্টিফিকেট একটি প্ল্যাটফর্ম সার্টিফিকেট হিসেবে পরিচিত। “অ্যান্ড্রয়েড” প্রোগ্রামটি অত্যন্ত সুবিধাপ্রাপ্ত ইউজার-আইডি “android.uid.system”-এর সাথে সম্পাদিত হয় এবং অন্যান্য সিস্টেম অনুমতিগুলির মধ্যে ব্যবহারকারীর ডেটাতে অ্যাক্সেস রয়েছে। গুগলের একটি ব্লগ পোস্ট অনুসারে, একই সার্টিফিকেটের সাথে প্রত্যয়িত অন্য যে কোনও প্রোগ্রামে অ্যান্ড্রয়েড অপারেটিং সিস্টেমে একই স্তরের অ্যাক্সেস উপলব্ধ।

যদিও, এখনও কিছু আশা আছে। ক্ষতিগ্রস্ত ব্যবসাগুলিকে ইতিমধ্যেই অ্যান্ড্রয়েড সিকিউরিটি টিম সমস্যার বিষয়ে সতর্ক করেছে। টেক জায়ান্টটি অতিরিক্তভাবে পরামর্শ দিয়েছে যে, প্রভাবিত ব্যবসাগুলি যাতে, “প্ল্যাটফর্ম সার্টিফিকেটটিকে একটি নতুন সেট পাবলিক এবং প্রাইভেট কী দিয়ে প্রতিস্থাপন করে রোটেট করে।” এছাড়াও, এক্সডিএ ডেভেলপারস-এর একটি রিপোর্ট অনুযায়ী, স্যামসাং কিছু সময়ের জন্য সমস্যা সম্পর্কে সচেতন ছিল এবং এর সমাধান করেছে। সংস্থাটি প্রকাশনার একটি বিবৃতিতে যোগ করেছে যে, সমস্যাটি সম্পর্কে সচেতন হওয়ার পরে তারা ২০১৬ সাল থেকে সুরক্ষা ব্যাবস্থায় সংশোধন করেছে এবং এই সম্ভাব্য দুর্বলতার জন্য এখনও কোনও নিরাপত্তা জনিত দুর্ঘটনা ঘটেনি।

উল্লেখ্য, অ্যাপ্লিকেশান সাইনিং-এর কাজ হল অ্যান্ড্রয়েড অপারেটিং সিস্টেম কীভাবে অপ্রচলিতদের জন্য হ্যান্ডসেটগুলিকে রক্ষা করে, তার একটি গুরুত্বপূর্ণ উপাদান৷ এই পদ্ধতিটি নিশ্চিত করে যে, শুধুমাত্র পরিচিত ও সম্মানীয় ডেভলপাররাই সফ্টওয়্যার আপগ্রেড সহ গ্রাহকদের ফোন সরবরাহ করছে। এই পদ্ধতির জন্য একটি ইউনিক সাইন-ইন কী প্রয়োজন যা শুধুমাত্র অ্যাপ ডেভেলপারের কাছেই থাকে এবং এটিকে সুরক্ষার একটি অতিরিক্ত স্তর যুক্ত করার জন্য সর্বদা ব্যক্তিগত রাখা হয়।