aCropalypse ত্রুটি পিক্সেল স্ক্রিনশট থেকে সরানো সংবেদনশীল ডেটা পুনরুদ্ধারের অনুমতি দেয়, গবেষকরা বলেছেন
পিক্সেল স্মার্টফোনগুলি পূর্বে একটি সুরক্ষা ত্রুটি দ্বারা প্রভাবিত হয়েছিল যা যে কোনও ব্যবহারকারীকে স্ক্রিনশট থেকে সংবেদনশীল বিবরণ ক্রপ করা বা সংশোধন করা পুনরুদ্ধার করতে দেয়, নিরাপত্তা গবেষকদের দ্বারা ভাগ করা ডেটা অনুসারে। পিক্সেল স্মার্টফোনের জন্য Google-এর মার্কআপ টুলে একটি নিরাপত্তা ত্রুটি সম্পাদিত স্ক্রিনশট ছবিগুলিকে কিছু আসল তথ্য ধরে রাখতে দেয়, ব্যবহারকারীদের বিশদ বিবরণ পুনরুদ্ধার করতে দেয় যা আগে প্রেরকের দ্বারা অস্পষ্ট ছিল। দুর্বলতা, যা বেশ কয়েক বছর ধরে বিদ্যমান ছিল, এখন Google দ্বারা বর্তমানে সমর্থিত Pixel হ্যান্ডসেটগুলিতে প্যাচ করা হয়েছে৷
নিরাপত্তা গবেষক সাইমন অ্যারনস এবং ডেভিড বুকানান aCropalypse নামে একটি নিরাপত্তা ত্রুটি আবিষ্কার করেছেন, যা পিক্সেল হ্যান্ডসেটের স্ক্রিনশট ক্রপ, এডিট এবং হাইলাইট করতে ব্যবহৃত মার্কআপ টুলকে প্রভাবিত করে। অনুসারে বিস্তারিত বুকানান দ্বারা শেয়ার করা, অ্যান্ড্রয়েড 10 সিস্টেমে কিছু পরিবর্তন এনেছে যার ফলে স্ক্রিনশট থেকে এডিট করা ডেটা ইমেজে থেকে যায়। ফলস্বরূপ, ইন্টারনেটে অপরিচিত ব্যক্তিদের সহ যে কোনও ব্যবহারকারী যে ছবিটি পেয়েছেন তাদের দ্বারা সেই ডেটা পুনরুদ্ধার করা যেতে পারে।
অ্যাক্রোপ্যালাইপস প্রবর্তন করা হচ্ছে: Google Pixel-এর অন্তর্নির্মিত স্ক্রিনশট সম্পাদনা টুল, মার্কআপে একটি গুরুতর গোপনীয়তা দুর্বলতা, একটি ক্রপ করা এবং/অথবা সংশোধন করা স্ক্রিনশটের আসল, অসম্পাদিত চিত্র ডেটার আংশিক পুনরুদ্ধার সক্ষম করে৷ বিশাল ধন্যবাদ @ডেভিড3141593 সর্বত্র তার সাহায্যের জন্য! pic.twitter.com/BXNQomnHbr
— সাইমন অ্যারনস (@ItsSimonTime) মার্চ 17, 2023
টুইটারে একটি থ্রেডে, অ্যারন ব্যাখ্যা করেছেন যে জনপ্রিয় যোগাযোগ অ্যাপ ব্যবহার করে ডিসকর্ড ব্যবহারকারী Retr0id-এর কাছে পাঠানো একটি চিত্র ব্যবহার করে কীভাবে aCropalypse দুর্বলতা কাজ করে। একটি ক্রেডিট কার্ডের একটি ছবি যা ক্রপ করা হয়েছে এবং “কালো পেন” টুলের সাহায্যে সংশোধন করা হয়েছে তা ডাউনলোড করা হয়েছে, তারপরে একটি পুনরুদ্ধার প্রক্রিয়ার সাপেক্ষে যার ফলস্বরূপ একই ক্রেডিট কার্ড সহ একটি জাল ব্যাঙ্ক ওয়েবসাইটের একটি আনক্রপ করা ছবি এর সংখ্যা দৃশ্যমান।
অ্যারনসের মতে, যদি PNG ফরম্যাটে সম্পাদিত স্ক্রিনশটটির ফাইলের আকার ছোট থাকে, যেমনটি অনেকগুলি ক্রপ করা ছবির ক্ষেত্রে হয়, তাহলে “নতুন ফাইল শেষ হওয়ার পরে মূল ফাইলের পিছনের অংশটি রেখে দেওয়া হয়”। ফাইলের এই ট্রেলিং অংশটি তখন পুনরুদ্ধার করা যেতে পারে, তিনি যোগ করেন। গবেষকও করেছেন প্রকাশিত একটি টুল যা প্রদর্শন করে কিভাবে aCropalypse দুর্বলতা কাজ করে, ব্যবহারকারীদের আসল ফাইলটি পুনরুদ্ধার করার চেষ্টা করার জন্য একটি স্ক্রিনশট আপলোড করার অনুমতি দেয়।
এদিকে, একটি 9to5Google রিপোর্ট একটি প্রারম্ভিক অ্যাক্সেস সংস্করণ উদ্ধৃত FAQ পৃষ্ঠা দুর্বলতার জন্য, বলে যে অনলাইনে শেয়ার করা সমস্ত ছবি ইমেজ দ্বারা প্রভাবিত হয় না। কিছু প্ল্যাটফর্ম, যেমন টুইটার, সমস্ত আপলোড করা ছবিকে এমনভাবে প্রক্রিয়া করে যাতে এটি aCropalypse নিরাপত্তা ত্রুটি দ্বারা প্রভাবিত না হয়। যাইহোক, ডিসকর্ডের মতো প্ল্যাটফর্মে যেগুলি যেমন-ই ছবিগুলি শেয়ার করে, যে ব্যবহারকারীরা Android 10 থেকে তাদের পিক্সেল স্মার্টফোনগুলি ব্যবহার করে স্ক্রিনশটগুলি ভাগ করেছেন তারা দুর্বলতার দ্বারা প্রভাবিত হতে পারে।
Pixel 4a, Pixel 5a, Pixel 7, এবং Pixel 7 Pro এর মালিকরা করতে পারেন হালনাগাদ রিপোর্ট অনুযায়ী, “উচ্চ” তীব্রতার শ্রেণীবিভাগের ত্রুটির (CVE-2023-21036) জন্য একটি নিরাপত্তা ফিক্স ইনস্টল করার জন্য সর্বশেষ মার্চের নিরাপত্তা রিলিজে। যাইহোক, অন্যান্য সমর্থিত পিক্সেল ফোনগুলি কখন ফিক্সগুলি পাবে, বা সংস্থাটি পিক্সেল হ্যান্ডসেটগুলি আপডেট করবে যেগুলি আর ত্রুটির সমাধানের সাথে সফ্টওয়্যার আপডেট পাচ্ছে না সে সম্পর্কে Google থেকে কোনও শব্দ নেই৷
[ad_2]