গুগল ড্রাইভ হ্যাকারদের ম্যালওয়্যার

গুগল ড্রাইভ হ্যাকারদের ম্যালওয়্যার? ত্রুটি ২০২০

গুগল ড্রাইভ হ্যাকারদের ম্যালওয়্যার?

 

হ্যাকাররা গুগল ড্রাইভ ব্যবহারকারীদের ম্যালওয়্যার ডাউনলোড করতে প্রতারিত করতে পারে, তাই সিস্টেম অ্যাডমিনিস্ট্রেটর এ নিকোসি দাবি করে। হ্যাকার নিউজকে দেওয়া একান্ত সাক্ষাৎকারে নিকোসি বলেন যে বৈধ নথি বা ছবির ছদ্মবেশে ক্ষতিকারক ফাইল বিতরণ করতে হ্যাকাররা গুগল ড্রাইভে একটি প্যাচবিহীন নিরাপত্তা ত্রুটির অপব্যবহার করতে পারে। তিনি দাবি করেন যে তিনি ইতোমধ্যে বাগটি গুগলে প্রকাশ করেছেন।



নিরাপত্তা বাগ কে বলা হয় গুগল ড্রাইভ দ্বারা প্রস্তাবিত ‘ব্যবস্থাপনা সংস্করণ’ বৈশিষ্ট্য যা ব্যবহারকারীদের একটি ফাইলের বিভিন্ন সংস্করণ আপলোড এবং পরিচালনা করতে অনুমতি দেয়। এই বৈশিষ্ট্য ব্যবহারকারীকে ড্রাইভে তার ফাইলে করা পরিবর্তন গুলি দেখতে এবং কারা এই পরিবর্তনগুলি করেছে তার উপর নজর রাখতে সম্মতি দেয়। আপনি পরিবর্তনগুলি দেখতে পারেন যখন কেউ: গুগল ডকসে সম্পাদনা বা মন্তব্য, SA ফাইল বা ফোল্ডার পুনঃনামকরণ করুন, একটি ফাইল বা ফোল্ডার অপসারণ বা অপসারণ করুন, একটি ফোল্ডারে একটি নতুন ফাইল আপলোড করে এবং একটি বিষয়োপকরণ শেয়ার বা শেয়ার করে না।

গুগল ড্রাইভ হ্যাকারদের ম্যালওয়্যার
গুগল ড্রাইভ হ্যাকারদের ম্যালওয়্যার

নিকোচির মতে ‘ব্যবস্থাপনা সংস্করণ’ কার্যকরভাবে ব্যবহারকারীদের একটি ফাইলের একটি পুরাতন সংস্করণ আপডেট করার অনুমতি দেওয়া উচিত যার একটি নতুন সংস্করণ একই ফাইল এক্সটেনশন আছে, যাইহোক, এটা কেস নয়। “… আক্রান্ত কার্যকরভাবে ব্যবহারকারীদের ক্লাউড স্টোরেজে বিদ্যমান যে কোন ফাইলের জন্য যে কোন ফাইল এক্সটেনশন সহ একটি নতুন সংস্করণ আপলোড করার অনুমতি দেয়, এমনকি একটি বিদ্বেষপূর্ণ এক্সিকিউটেবল সহ” হ্যাকার নিউজকে বলেন নিকোচি।

নিকোচি ওয়েবসাইটের সাথে শেয়ার করা একটি ডেমো ভিডিওতে তিনি ফাইলটির একটি বৈধ সংস্করণ দেখাচ্ছেন যা ইতোমধ্যে একদল ব্যবহারকারীর মধ্যে শেয়ার করা হয়েছে যা একটি বিদ্বেষপূর্ণ ফাইল দ্বারা প্রতিস্থাপিত হচ্ছে।



ফাইলটি, যখন অনলাইনে প্রাকদর্শন করা হয়, কোন পরিবর্তন সম্পর্কে ব্যবহারকারীদের সতর্ক করে না. “গুগল আপনাকে একই ধরনের কিনা তা পরীক্ষা না করেই ফাইল সংস্করণ পরিবর্তন করতে দেয়,” নিকোসি দাবি করেন। তিনি বলেন যে গুগল ড্রাইভ এমনকি ফাইলটিএকই এক্সটেনশন প্রয়োজন হয়নি।

গুগল ড্রাইভ হ্যাকারদের ম্যালওয়্যার
গুগল ড্রাইভ হ্যাকারদের ম্যালওয়্যার

তার মতে এই ফাঁকফোকরটি সাইবার অপরাধীরা বর্শা-ফিসিং আক্রমণ চালানোর জন্য ব্যবহার করতে পারে। কারণ, ব্যবহারকারী হয়তো জানেন না যে একটি বিপজ্জনক ফাইল আছে যতক্ষণ না তিনি ইতোমধ্যে এটি ইনস্টল করেছেন।

তিনি বলেন যে সমস্যা যোগ করতে, ক্রোম “স্পষ্টভাবে বিশ্বাস” ড্রাইভ ডাউনলোড এমনকি যখন অন্যান্য এন্টিভাইরাস প্রোগ্রাম ম্যালওয়্যার সন্দেহ করেঅপ্রারম্ভিক, ফিসিং আক্রমণ হচ্ছে সেই সব আক্রমণ যেখানে ব্যবহারকারীদের বিপজ্জনক সংযুক্তি খুলতে বা ম্যালওয়্যার বোঝাই লিংকে ক্লিক করতে প্রতারিত হতে হয়। এর ফলে তারা তাদের গোপনীয় তথ্য বা স্পাইওয়্যার এবং অন্যান্য বিপজ্জনক সফটওয়্যার তাদের ডিভাইসে গোপনে ইনস্টল করতে পারে।

আরো পড়তে পারেন: গুগল অ্যান্ড্রয়েড ১১ ক্যামেরা অ্যাপটিকে আরও সুরক্ষিত করছে

নিরাপত্তা গবেষক এলিসন হুসেন প্রকাশ্যে জিমেইল এবং জি সুইট ইমেইল সার্ভারে একটি বাগ প্রকাশ করার কয়েকদিন পরেই এই তথ্য প্রকাশ করা হয়, যার ফলে হ্যাকাররা যে কোন জিমেইল বা জি সুইট ব্যবহারকারীর পক্ষ থেকে ভুয়া ইমেইল পাঠাতে পারে। গুগল ইতোমধ্যে এই বাগ প্যাচ করেছে।



মেইল রুট কনফিগার করার সময় ভেরিফিকেশন না হওয়ার কারণে, জিমেইল এবং যে কোন জি সুইট গ্রাহকের কঠোর DMARC/SPF নীতি জি সুইটের মেইল রাউটিং নিয়ম ব্যবহার করে বিকৃত বার্তা রিলে এবং অনুমোদন প্রদানের মাধ্যমে উল্টে যেতে পারে। এটি লক্ষণীয়ভাবে গত বছরের ক্লাসিক মেইল স্পুফিং এর মত নয় যেখানে থেকে হেডারকে একটি অনিচ্ছাকৃত মূল্য দেওয়া হয়, একটি কৌশল যা প্রেরক পলিসি ফ্রেমওয়ার্ক (এসপিএফ) এবং ডোমেইন ভিত্তিক বার্তা প্রমাণীকরণ, রিপোর্টিং এবং কনফর্মেন্স (ডিএমআরকে) ব্যবহার করে মেইল সার্ভার দ্বারা সহজেই অবরুদ্ধ করা হয়।

আরো পড়তে পারেন: ইনস্টাগ্রাম বাগ বাউন্টি? ৬০০০ মার্কিন ডলার?

এই বিষয়টি গুগল-এর জন্য একটি বাগ অনন্য যা একজন আক্রমণকারীকে অন্য যে কোন ব্যবহারকারী বা জি সুইট গ্রাহকের মতো মেইল পাঠাতে দেয়, এমনকি সবচেয়ে সীমাবদ্ধ এসপিএফ এবং ডিএমইআরকে নিয়ম অতিক্রম করার সময় পোস্টে বলেন হুসেন।



আমাকে অনুসরণ করতে পারেন ফেসবুক, ইন্সটাগ্রামটুইটারে। সর্বশেষ সংবাদ, প্রযুক্তি সংবাদ, ব্রেকিং নিউজ শিরোনাম এবং লাইভ আপডেট আপনাদের জন্য।

Spread the love

Leave a Comment

Your email address will not be published. Required fields are marked *