নতুন Wi-Fi ত্রুটিগুলি অ্যান্ড্রয়েড এবং লিনাক্স ডিভাইসগুলিকে হ্যাকিংয়ের ঝুঁকিতে ফেলেছে৷
সাইবারসিকিউরিটি গবেষকরা অ্যান্ড্রয়েড, লিনাক্স এবং ক্রোমওএস ডিভাইসে পাওয়া ওপেন-সোর্স ওয়াই-ফাই সফ্টওয়্যারটিতে দুটি প্রমাণীকরণ বাইপাস ত্রুটি সনাক্ত করেছেন যা ব্যবহারকারীদের বৈধ নেটওয়ার্কের একটি দূষিত ক্লোনের সাথে যোগ দিতে বা আক্রমণকারীকে পাসওয়ার্ড ছাড়াই একটি বিশ্বস্ত নেটওয়ার্কে যোগদানের অনুমতি দিতে পারে। .
দুর্বলতাগুলি, CVE-2023-52160 এবং CVE-2023-52161 হিসাবে ট্র্যাক করা হয়েছে, যথাক্রমে wpa_supplicant এবং Intel এর iNet ওয়্যারলেস ডেমন (IWD) এর নিরাপত্তা মূল্যায়নের পরে আবিষ্কৃত হয়েছে।
ত্রুটিগুলি "আক্রমণকারীদের বিশ্বাসযোগ্য নেটওয়ার্কগুলির দূষিত ক্লোনগুলির সাথে সংযোগ স্থাপনের জন্য এবং তাদের ট্র্যাফিককে আটকানোর জন্য এবং অন্যথায় পাসওয়ার্ডের প্রয়োজন ছাড়াই নিরাপদ নেটওয়ার্কগুলিতে যোগদানের জন্য প্রতারণা করার অনুমতি দেয়," Top10VPN ম্যাথি ভ্যানহোফের সাথে সহযোগিতায় পরিচালিত একটি নতুন গবেষণায় বলেছে, যিনি এর আগে Wi-কে উন্মোচন করেছেন। -ফাই আক্রমণ যেমন KRACK, DragonBlood, এবং TunnelCrack।
CVE-2023-52161, বিশেষ করে, একটি প্রতিপক্ষকে একটি সুরক্ষিত Wi-Fi নেটওয়ার্কে অননুমোদিত অ্যাক্সেস পাওয়ার অনুমতি দেয়, বিদ্যমান ব্যবহারকারী এবং ডিভাইসগুলিকে ম্যালওয়্যার সংক্রমণ, ডেটা চুরি এবং ব্যবসায়িক ইমেল আপস (BEC) এর মতো সম্ভাব্য আক্রমণের জন্য উন্মুক্ত করে। এটি IWD সংস্করণ 2.12 এবং তার নিচের সংস্করণগুলিকে প্রভাবিত করে৷
অন্যদিকে, CVE-2023-52160 wpa_supplicant সংস্করণ 2.10 এবং তার আগের সংস্করণগুলিকে প্রভাবিত করে৷ এটি ওয়্যারলেস নেটওয়ার্কগুলিতে লগইন অনুরোধগুলি পরিচালনা করার জন্য অ্যান্ড্রয়েড ডিভাইসগুলিতে ব্যবহৃত ডিফল্ট সফ্টওয়্যার হওয়ার কারণে দুটি ত্রুটির মধ্যে এটি আরও বেশি চাপ।
এটি বলেছে, এটি শুধুমাত্র Wi-Fi ক্লায়েন্টদের প্রভাবিত করে যেগুলি প্রমাণীকরণ সার্ভারের শংসাপত্র যাচাই করার জন্য সঠিকভাবে কনফিগার করা হয়নি৷ CVE-2023-52161, যাইহোক, যে কোনো নেটওয়ার্ককে প্রভাবিত করে যেটি একটি লিনাক্স ডিভাইসকে ওয়্যারলেস অ্যাক্সেস পয়েন্ট (WAP) হিসেবে ব্যবহার করে।
CVE-2023-52160 ব্যাঙ্কগুলির সফল শোষণ এই পূর্বশর্তের উপর যে আক্রমণকারীর একটি Wi-Fi নেটওয়ার্কের SSID রয়েছে যার সাথে ভিকটিম পূর্বে সংযুক্ত ছিল৷ এর জন্য হুমকি অভিনেতাকে শিকারের শারীরিক সান্নিধ্যে থাকতে হবে।
গবেষকরা বলেছেন, "এমন একটি সম্ভাব্য দৃশ্য হতে পারে যেখানে একজন আক্রমণকারী একটি কোম্পানির বিল্ডিং এর চারপাশে হেঁটে বেড়ায় নেটওয়ার্কের জন্য স্ক্যানিং করার আগে একজন কর্মচারীকে অফিস ছেড়ে চলে যাওয়ার আগে," গবেষকরা বলেছেন।
প্রধান লিনাক্স বিতরণ যেমন ডেবিয়ান (1, 2), রেড হ্যাট (1), SUSE (1, 2), এবং উবুন্টু (1, 2) দুটি ত্রুটির জন্য পরামর্শ প্রকাশ করেছে। wpa_supplicant সমস্যাটি ChromeOS-এও 118 এবং পরবর্তী সংস্করণ থেকে সমাধান করা হয়েছে, কিন্তু Android এর জন্য সমাধানগুলি এখনও উপলব্ধ করা হয়নি৷
"এরই মধ্যে, এটা খুবই গুরুত্বপূর্ণ যে, অ্যান্ড্রয়েড ব্যবহারকারীরা আক্রমণ প্রতিরোধ করার জন্য যেকোন সংরক্ষিত এন্টারপ্রাইজ নেটওয়ার্কের CA সার্টিফিকেট ম্যানুয়ালি কনফিগার করে," Top10VPN বলেছে।
Sorec:thehackernews