অ্যাপল আইওএস 16-এ একটি শূন্য-দিনের বাগ মোকাবেলা করার জন্য আইফোনগুলির জন্য একটি গুরুত্বপূর্ণ সুরক্ষা আপডেট জারি করেছে যা আক্রমণকারীদের আইফোন মালিকের কাছ থেকে কোনও মিথস্ক্রিয়া ছাড়াই দূরবর্তীভাবে একটি ডিভাইসে স্পাইওয়্যার ইনস্টল করার অনুমতি দিতে পারে। সিটিজেন ল্যাব, একটি স্পাইওয়্যার গবেষণা গ্রুপ, গত সপ্তাহে শোষণটি আবিষ্কার করেছে এবং অবিলম্বে অ্যাপলকে অবহিত করেছে।
ওয়াশিংটন ডিসি-ভিত্তিক নাগরিক সমাজ সংস্থার একজন কর্মচারীর মালিকানাধীন একটি আইফোনে এনজিও গ্রুপের পেগাসাস স্পাইওয়্যার ইনস্টল করতে জিরো-ক্লিক জিরো-ডে এক্সপ্লয়েট ব্যবহার করা হয়েছিল। পেগাসাস হল স্পাইওয়্যার যা একটি বেসরকারী ঠিকাদার দ্বারা সরকারী সংস্থাগুলির ব্যবহারের জন্য তৈরি করা হয়েছে। স্পাইওয়্যার একটি ফোনকে সংক্রামিত করে এবং ফটো, বার্তা এবং অডিও/ভিডিও রেকর্ডিং সহ ডেটা ফেরত পাঠায়।
শোষণের সাথে iMessage এর মাধ্যমে পাঠানো PassKit সংযুক্তি জড়িত
অ্যাপল এখন এই শোষণের আবিষ্কারের মাত্র কয়েক দিন পরে iOS 16.6.1 প্রকাশ করেছে এবং আইফোন মালিকদের জন্য এই আপডেটটি ইনস্টল করা অত্যন্ত গুরুত্বপূর্ণ, এমনকি তাদের স্পাইওয়্যার দ্বারা লক্ষ্যবস্তু হওয়ার সম্ভাবনা না থাকলেও। বৃহত্তর আক্রমণের ঝুঁকি বাড়ায়, এই নতুন দুর্বলতাকে কীভাবে কাজে লাগানো যায় তা আবিষ্কার করতে এবং আবিষ্কার করার জন্য iOS নিরাপত্তা আপডেটগুলিকে প্রত্যাবর্তন করতে ইচ্ছুক অনেক গোষ্ঠী এখনও রয়েছে৷
সিটিজেন ল্যাব সুস্পষ্ট কারণে দুর্বলতার সম্পূর্ণ বিভাজন প্রদান করেনি, তবে শোষণের সাথে জড়িত রয়েছে পাসকিট - অ্যাপল পে এবং ওয়ালেটের পিছনের কাঠামো - iMessage-এর মাধ্যমে পাঠানো ক্ষতিকারক চিত্রগুলির সাথে লোড করা সংযুক্তিগুলি৷ "আমরা ভবিষ্যতে শোষণ শৃঙ্খল সম্পর্কে আরও বিশদ আলোচনা প্রকাশ করার আশা করি," সিটিজেন ল্যাব বলে৷
iOS দুর্বলতাগুলি সাম্প্রতিক বছরগুলিতে নিয়মিত শিরোনাম করেছে, বিশেষ করে যেগুলি অ্যাপল নিরাপত্তা ত্রুটি সম্পর্কে সচেতন হওয়ার আগে সক্রিয়ভাবে শোষণ করেছে। অ্যাপল এমনকি একটি র্যাপিড সিকিউরিটি রেসপন্স সিস্টেম তৈরি করেছে যা ডিভাইসটিকে রিবুট না করেই আইফোনে নিরাপত্তা ফিক্স যোগ করতে পারে।
গুরুত্বপূর্ণভাবে, সিটিজেন ল্যাব বলেছে যে অ্যাপলের লকডাউন মোড ব্যবহারকারীদের এই সর্বশেষ শোষণের বিরুদ্ধে রক্ষা করতে পারে, তাই আপনি যদি রাষ্ট্র-স্পন্সর স্পাইওয়্যার দ্বারা লক্ষ্যবস্তু হওয়ার ঝুঁকিতে থাকেন তবে এই মোডটি সক্ষম করা ভাল।
ওয়াশিংটন ডিসি-ভিত্তিক নাগরিক সমাজ সংস্থার একজন কর্মচারীর মালিকানাধীন একটি আইফোনে এনজিও গ্রুপের পেগাসাস স্পাইওয়্যার ইনস্টল করতে জিরো-ক্লিক জিরো-ডে এক্সপ্লয়েট ব্যবহার করা হয়েছিল। পেগাসাস হল স্পাইওয়্যার যা একটি বেসরকারী ঠিকাদার দ্বারা সরকারী সংস্থাগুলির ব্যবহারের জন্য তৈরি করা হয়েছে। স্পাইওয়্যার একটি ফোনকে সংক্রামিত করে এবং ফটো, বার্তা এবং অডিও/ভিডিও রেকর্ডিং সহ ডেটা ফেরত পাঠায়।
শোষণের সাথে iMessage এর মাধ্যমে পাঠানো PassKit সংযুক্তি জড়িত
অ্যাপল এখন এই শোষণের আবিষ্কারের মাত্র কয়েক দিন পরে iOS 16.6.1 প্রকাশ করেছে এবং আইফোন মালিকদের জন্য এই আপডেটটি ইনস্টল করা অত্যন্ত গুরুত্বপূর্ণ, এমনকি তাদের স্পাইওয়্যার দ্বারা লক্ষ্যবস্তু হওয়ার সম্ভাবনা না থাকলেও। বৃহত্তর আক্রমণের ঝুঁকি বাড়ায়, এই নতুন দুর্বলতাকে কীভাবে কাজে লাগানো যায় তা আবিষ্কার করতে এবং আবিষ্কার করার জন্য iOS নিরাপত্তা আপডেটগুলিকে প্রত্যাবর্তন করতে ইচ্ছুক অনেক গোষ্ঠী এখনও রয়েছে৷
সিটিজেন ল্যাব সুস্পষ্ট কারণে দুর্বলতার সম্পূর্ণ বিভাজন প্রদান করেনি, তবে শোষণের সাথে জড়িত রয়েছে পাসকিট - অ্যাপল পে এবং ওয়ালেটের পিছনের কাঠামো - iMessage-এর মাধ্যমে পাঠানো ক্ষতিকারক চিত্রগুলির সাথে লোড করা সংযুক্তিগুলি৷ "আমরা ভবিষ্যতে শোষণ শৃঙ্খল সম্পর্কে আরও বিশদ আলোচনা প্রকাশ করার আশা করি," সিটিজেন ল্যাব বলে৷
iOS দুর্বলতাগুলি সাম্প্রতিক বছরগুলিতে নিয়মিত শিরোনাম করেছে, বিশেষ করে যেগুলি অ্যাপল নিরাপত্তা ত্রুটি সম্পর্কে সচেতন হওয়ার আগে সক্রিয়ভাবে শোষণ করেছে। অ্যাপল এমনকি একটি র্যাপিড সিকিউরিটি রেসপন্স সিস্টেম তৈরি করেছে যা ডিভাইসটিকে রিবুট না করেই আইফোনে নিরাপত্তা ফিক্স যোগ করতে পারে।
গুরুত্বপূর্ণভাবে, সিটিজেন ল্যাব বলেছে যে অ্যাপলের লকডাউন মোড ব্যবহারকারীদের এই সর্বশেষ শোষণের বিরুদ্ধে রক্ষা করতে পারে, তাই আপনি যদি রাষ্ট্র-স্পন্সর স্পাইওয়্যার দ্বারা লক্ষ্যবস্তু হওয়ার ঝুঁকিতে থাকেন তবে এই মোডটি সক্ষম করা ভাল।