অ্যাপল একটি চালু করেছে iOS 18-এর জন্য নতুন নিরাপত্তা প্যাচ অনলাইনে ফাঁস হয়ে যাওয়া এবং আইফোন ও আইপ্যাড ব্যবহারকারীদের লক্ষ্যবস্তু করা ডার্কসোর্ড নামক স্পাইওয়্যার স্যুটের বিস্তার রোধ করার লক্ষ্যে কর্তৃপক্ষ ব্যবস্থা গ্রহণ করেছে। ডেভেলপমেন্ট প্ল্যাটফর্মগুলোতে এর কোড ফাঁস হয়ে যাওয়ার পর এবং শুধুমাত্র হ্যাক হওয়া ওয়েবসাইটে প্রবেশের মাধ্যমেই সক্রিয় হওয়া আক্রমণ শনাক্ত হওয়ার পর এই পদক্ষেপ নেওয়া হয়েছে।
কোম্পানিটি খুঁজছে যে ডিভাইসগুলিতে তখনও iOS 18-এর মধ্যবর্তী সংস্করণ চলছিল সিস্টেমের সাম্প্রতিক সংস্করণগুলোতে আগে থেকেই বিদ্যমান প্রতিরক্ষা ব্যবস্থাগুলোকে অন্তর্ভুক্ত করুন। এই মোতায়েনের তড়িঘড়ি অবস্থার কারণ হলো, ডার্কসোর্ড একাধিক জিরো-ডে দুর্বলতাকে কাজে লাগায়, যা মোবাইল ডিভাইস থেকে পরিচালিত আর্থিক তথ্য এবং ক্রিপ্টো সম্পদসহ ব্যক্তিগত ডেটা নিঃশব্দে চুরি করার সুযোগ করে দিতে সক্ষম।
ছয়টি গুরুতর বাগ সমাধান করতে iOS 18-এর একটি আপডেট
বিশেষায়িত গণমাধ্যমে প্রকাশিত তথ্য অনুযায়ী, অ্যাপল প্রতিক্রিয়া জানিয়েছে ডার্কসোর্ড কোডের প্রকাশ্য উন্মোচন এই স্পাইওয়্যারটিকে প্রতিহত করার জন্য অ্যাপল আইওএস ১৮-এর একটি বিশেষ আপডেট প্রকাশ করেছে। এই প্যাচটি আইওএস ১৮.৪ থেকে ১৮.৭ পর্যন্ত সংস্করণ চালিত ডিভাইসগুলোকে লক্ষ্য করে তৈরি, যে সংস্করণগুলোতে এই অ্যাটাক কিট দ্বারা ব্যবহৃত নিরাপত্তা দুর্বলতাগুলো বিদ্যমান।
নিরাপত্তা গবেষকরা নথিভুক্ত করেছেন যে ডার্কসোর্ড নির্ভর করে iOS 18.4 থেকে 18.7-এ ছয়টি পর্যন্ত জিরো-ডে দুর্বলতা বিদ্যমান।এই দুর্বলতাগুলোর মাধ্যমে, অন্যান্য বিষয়ের পাশাপাশি, ব্যবহারকারী যখন ক্ষতিকারক কোডযুক্ত কোনো ওয়েবসাইট লোড করে, তখন একজন আক্রমণকারী ডিভাইসটিকে হ্যাক করতে পারে। এর জন্য কোনো ইনস্টলেশন বা অতিরিক্ত বোতাম চাপার প্রয়োজন হয় না: ব্রাউজারটিকে কেবল সংক্রমিত পৃষ্ঠাটি প্রদর্শন করতে হয়।
এখন যে সমাধানগুলো চালু করা হচ্ছে তার মধ্যে রয়েছে সুরক্ষা ব্যবস্থা যা অ্যাপল সিস্টেমের পরবর্তী সংস্করণগুলিতে ইতিমধ্যেই চালু করেছিলএর ফলে যে দলগুলো এখনও সর্বশেষ সংস্করণে আপডেট করেনি, তারা তাদের ঝুঁকি কমাতে পারে। লক্ষ্য হলো যত দ্রুত সম্ভব ঝুঁকিপূর্ণ ডিভাইসগুলোর সুরক্ষা ব্যবস্থা সম্পূর্ণ করা, কারণ এটা জানা আছে যে আক্রমণ কোডটি ইতোমধ্যে ছড়িয়ে পড়েছে এবং বিভিন্ন ধরনের আক্রমণকারী এটি পুনরায় ব্যবহার করতে পারে।
অ্যাপল ব্যাখ্যা করেছে যে iOS 18-এর নিরাপত্তা আপডেটটি এটি পর্যায়ক্রমে চালু করা হবে।এবং যেসব ব্যবহারকারীর স্বয়ংক্রিয় আপডেট চালু করা আছে, তাদের কিছুই করতে হবে না: প্যাচটি ব্যাকগ্রাউন্ডে চলে আসবে এবং ডিভাইস প্রস্তুত হলে ইনস্টল হয়ে যাবে। যাদের ম্যানুয়াল আপডেট চালু আছে, তাদের নির্দিষ্ট অংশটি পরীক্ষা করে দেখা উচিত। প্যাকেজটি প্রস্তুত কিনা তা পরীক্ষা করার সেটিংস। ডাউনলোড করতে.
একই সাথে, কোম্পানি জোর দিয়ে বলছে যে নিরাপত্তার দৃষ্টিকোণ থেকে সবচেয়ে নির্ভরযোগ্য বিকল্পটি হলো iOS-এর সর্বশেষ সংস্করণে স্থানান্তরিত করুনযেটিতে সবচেয়ে উন্নত প্রতিরক্ষামূলক ব্যবস্থা অন্তর্ভুক্ত করা হয়েছে এবং আরও দ্রুত প্যাচ পাওয়া যায়। তবে, iOS 18-এর নতুন সংস্করণটি তাদের জন্য পরিস্থিতি সহজ করার লক্ষ্য রাখে, যারা সামঞ্জস্যের সমস্যা বা ব্যক্তিগত পছন্দের কারণে এখনও এটিতে স্থানান্তরিত হননি।
ডার্কসোর্ড কী এবং এটি আইফোন বা আইপ্যাডে কী করতে পারে?
ডার্কসোর্ডকে বর্ণনা করা হয় একটি অ্যাপল ডিভাইস হ্যাক করার জন্য বিশেষায়িত হ্যাকিং টুলসেট ওয়েব আক্রমণের মাধ্যমে। এটি এক ধরনের স্পাইওয়্যার যা ব্রাউজারের দুর্বলতা এবং সিস্টেমের অন্যান্য ত্রুটি কাজে লাগিয়ে কোড প্রবেশ করিয়ে মালিকের অজান্তেই কম্পিউটারের নিয়ন্ত্রণ বজায় রাখতে সক্ষম।
আক্রমণ সফল হলে, ডার্কসোর্ড অপারেটররা পারে বিস্তৃত পরিসরের গোপনীয় তথ্য বের করাএর মধ্যে রয়েছে মেসেজ, ব্রাউজিং হিস্ট্রি, লোকেশন ডেটা এবং ক্রিপ্টোকারেন্সি প্ল্যাটফর্মসহ আর্থিক পরিষেবাগুলোর সাথে যুক্ত ক্রেডেনশিয়াল বা লগইন। যেহেতু এটি নীরবে কাজ করার জন্য ডিজাইন করা হয়েছে, তাই ব্যবহারকারী সাধারণত কোনো স্পষ্ট লক্ষণ বুঝতে পারেন না যে কিছু একটা ভুল হচ্ছে।
কিটটির বিপদ শুধু ডিভাইসটির প্রযুক্তিগত নিয়ন্ত্রণের মধ্যেই সীমাবদ্ধ নয়। সংগৃহীত তথ্যগুলো অনুমতি দেয় ভুক্তভোগীদের বিস্তারিত প্রোফাইল তৈরি করতেব্রাউজিং অভ্যাস, পরিচিতি, ঘন ঘন ব্যবহৃত স্থান এবং আর্থিক লেনদেন একত্রিত করার মাধ্যমে। এটি প্রাপ্ত তথ্যের সুযোগ নিয়ে চাঁদাবাজি বা ব্ল্যাকমেইল অভিযান এবং আরও জটিল আর্থিক জালিয়াতির পথ খুলে দেয়।
আরেকটি গুরুত্বপূর্ণ বিষয় হলো যে ডার্কসোর্ডকে পর্যবেক্ষণ করা হয়েছে তাদের টুলগুলো সর্বজনীন করার আগেই বিভিন্ন দেশে ব্যবহারকারীদের ওপর প্রকৃত আক্রমণ চালানো হয়েছিল।পূর্ববর্তী গবেষণা এটিকে এশিয়া ও পূর্ব ইউরোপের মতো অঞ্চলে পরিচালিত লক্ষ্যভিত্তিক অভিযানের সাথে যুক্ত করে, যা ইঙ্গিত দেয় যে এটি কোনো বিচ্ছিন্ন ধারণা-প্রমাণ নয়, বরং এমন আক্রমণাত্মক সক্ষমতা যা ইতোমধ্যেই মাঠ পর্যায়ে ব্যবহৃত হচ্ছিল।
প্রতিবেদন অনুযায়ী, ওপেন রিপোজিটরিতে কোড প্রকাশ করার অর্থ হলো যে অন্যান্য ক্ষতিকারক গোষ্ঠীর প্রবেশের বাধা উল্লেখযোগ্যভাবে হ্রাস পায়।যে কাজের জন্য আগে আরও উন্নত উপকরণের প্রয়োজন হতো, তা এখন কম প্রযুক্তিগত সক্ষমতা সম্পন্ন ব্যক্তিদের নাগালের মধ্যে চলে এসেছে, যারা নিজেদের কার্যক্রম গড়ে তোলার জন্য পরিচিত দুর্বলতাগুলোকে কাজে লাগাতে আগ্রহী।
প্রভাবিত ডিভাইস এবং নতুন iOS সংস্করণগুলির সাথে তাদের সম্পর্ক
গবেষণা থেকে জানা যায় যে ডার্কসোর্ড মূলত মনোযোগ দেয় iOS 18.4 থেকে iOS 18.7 চালিত ডিভাইসগুলিএই অন্তর্বর্তী সংস্করণগুলো iOS 18-এর প্রাথমিক সংস্করণ এবং সবচেয়ে সাম্প্রতিক সংস্করণগুলোর মাঝামাঝি পর্যায়ে ছিল। যারা কম ঘন ঘন আপডেট করেন, তাদের দ্বারা ব্যাপকভাবে ব্যবহৃত এই ডিভাইসগুলো আক্রমণকারীদের কাছে বিশেষভাবে আকর্ষণীয়।
অ্যাপল ইতিমধ্যেই অন্তর্ভুক্ত করেছিল এর সবচেয়ে আধুনিক iOS সংস্করণে এই ধরনের আক্রমণের বিরুদ্ধে নির্দিষ্ট সুরক্ষা ব্যবস্থা রয়েছে।সুতরাং, যেসব আইফোন এবং আইপ্যাড ইতিমধ্যে পরিবর্তিত হয়ে গিয়েছিল, সেগুলোর একটি বড় অংশ তুলনামূলকভাবে ভালো সুরক্ষিত ছিল। সমস্যাটি ছিল সেই বিপুল সংখ্যক ব্যবহারকারীকে নিয়ে, যারা বিভিন্ন কারণে তখনও পুরোনো বিল্ড ব্যবহার করছিলেন এবং ঝুঁকির সুযোগটি খোলা রাখছিলেন।
নতুন iOS 18 প্যাচটির সুনির্দিষ্ট লক্ষ্য হলো সম্পূর্ণরূপে আপডেট করা ডিভাইস এবং পিছিয়ে পড়া ডিভাইসগুলোর মধ্যে সেই ব্যবধান কমাতেসর্বশেষ প্রজন্মের সিস্টেমযুক্ত টার্মিনালগুলিতে সুরক্ষা সীমাবদ্ধ রাখার পরিবর্তে, অ্যাপল এই সমাধানগুলির কিছু অংশ ঝুঁকিপূর্ণ সংস্করণগুলিতেও প্রসারিত করার সিদ্ধান্ত নিয়েছে, যার লক্ষ্য হলো স্পাইওয়্যার আরও ব্যাপকভাবে ছড়িয়ে পড়ার পর এই হুমকিকে নিয়ন্ত্রণ করা।
অনেক ব্যবহারকারীর ক্ষেত্রে, আপডেট করতে অনীহার কারণ ছিল আরও বেশি নান্দনিক বা ইন্টারফেস পরিবর্তন যাতে নিরাপত্তা সংক্রান্ত সমস্যা রয়েছেঅনেকে বাহ্যিক নকশার পরিবর্তন বা ব্যবহারযোগ্যতার সমন্বয় এড়িয়ে চলতে পছন্দ করতেন, কিন্তু তারা পুরোপুরি সচেতন ছিলেন না যে এর মাধ্যমে তারা সেই সময়কালকে দীর্ঘায়িত করছেন, যে সময়ে তাদের মোবাইল ফোনটি এমন সব ত্রুটিপূর্ণ যন্ত্রাংশের ওপর নির্ভরশীল থাকবে, যেগুলোর দুর্বলতা ওয়েব থেকে কাজে লাগানো যেতে পারে।
ইউরোপে এবং স্পেনে, যেখানে আইফোনের একটি ব্যক্তিগত ও পেশাগত উভয় ক্ষেত্রেই উল্লেখযোগ্য উপস্থিতিএই ধরনের সিদ্ধান্তগুলো সরাসরি আক্রমণের ক্ষেত্রকে প্রভাবিত করে। বিষয়টি শুধু ব্যক্তিগত ফোনের মধ্যেই সীমাবদ্ধ নয়: অনেক কর্মচারী কর্পোরেট বা হাইব্রিড ডিভাইস ব্যবহার করেন, যেগুলোর মাধ্যমে কোম্পানি, সরকারি সংস্থা বা আর্থিক প্রতিষ্ঠানের অভ্যন্তরীণ সিস্টেমে প্রবেশ করা যায়।
আক্রমণটি কীভাবে শুরু হয়, এবং আপডেটের উপর এত জোর কেন দেওয়া হচ্ছে?
ডার্কসোর্ডের সবচেয়ে উদ্বেগজনক বৈশিষ্ট্যগুলোর মধ্যে একটি হলো যে এর জন্য ব্যবহারকারীকে কোনো অদ্ভুত অ্যাপ্লিকেশন ইনস্টল করতে বা চোখে পড়ার মতো কোনো কাজ করতে হয় না।আক্রমণের প্রধান পদ্ধতিটি ওয়েব ব্রাউজিং-ভিত্তিক: এর জন্য ডিভাইসটিকে কেবল আক্রমণকারীদের তৈরি করা কোডযুক্ত একটি পেজ লোড করতে হয়।
ওই সাইটটি হয়তো শুরু থেকেই অসৎ উদ্দেশ্যে তৈরি করা হয়েছিল, অথবা হতে পারে একটি বৈধ ওয়েবসাইট যা হ্যাক হয়েছে এক্সপ্লয়েটটি ইতিমধ্যেই প্রবেশ করানো হয়েছে। ব্যবহারকারীর দৃষ্টিকোণ থেকে, অভিজ্ঞতাটি একটি আপাতদৃষ্টিতে স্বাভাবিক নিউজ পোর্টাল, ক্লাউড পরিষেবা বা অনলাইন স্টোরে প্রবেশের মতো হতে পারে।
এই পরিস্থিতিতে, সবচেয়ে কার্যকর প্রতিরক্ষা ব্যবস্থা হলো ঝুঁকিপূর্ণ সফটওয়্যারটি সক্রিয় থাকার সময়কাল কমিয়ে আনুনএই কারণেই অ্যাপল জোরালোভাবে সুপারিশ করে যে, প্যাচটি উপলব্ধ হওয়া মাত্রই তা ইনস্টল করে নেওয়া হোক, হয় স্বয়ংক্রিয় ফাংশনের মাধ্যমে অথবা সেটিংস > সাধারণ > সফটওয়্যার আপডেট-এ গিয়ে ম্যানুয়ালি পরীক্ষা করে।
যারা ইতিমধ্যেই iOS-এর আরও আধুনিক সংস্করণ ব্যবহার করছেন, তাদের কাছে 18-এ আপডেটটি অপ্রাসঙ্গিক মনে হতে পারে, কিন্তু বাস্তবে এটি পরিবারের সদস্য, সহকর্মী বা গ্রাহকদের সুরক্ষা দিতে কাজ করে। যেগুলো এখনও প্রভাবিত পরিসরের মধ্যে রয়েছে। যত বেশি ডিভাইস অরক্ষিত থাকবে, আক্রমণকারীদের একই দুর্বলতাগুলো কাজে লাগিয়ে যাওয়ার প্রেরণা তত বাড়বে।
বর্তমান বাস্তুতন্ত্রে, যেখানে আইফোন কাজ করে ব্যাংক অ্যাকাউন্ট, ক্রিপ্টোকারেন্সি ওয়ালেট এবং কর্পোরেট পরিষেবাগুলিতে প্রবেশের চাবিওয়েব থেকে কাজে লাগানো যায় এমন কোনো দুর্বলতাকে প্যাচ না করা কোনো ছোটখাটো ব্যাপার নয়। একটি সফল অনুপ্রবেশের ফলে আর্থিক ক্ষতি, সংবেদনশীল তথ্যের ফাঁস এবং অন্যান্য সংযুক্ত পরিষেবাগুলিতে এর ধারাবাহিক প্রভাব পড়তে পারে।
অতিরিক্ত ব্যবস্থা: লকডাউন মোড এবং উত্তম নিরাপত্তা অনুশীলন
প্যাচ প্রকাশের পাশাপাশি অ্যাপল সবাইকে এর অস্তিত্বের কথা মনে করিয়ে দিয়েছে। লকডাউন মোড, একটি উন্নত লক মোড যেসব ব্যবহারকারী বিশেষভাবে অত্যাধুনিক আক্রমণের লক্ষ্যবস্তু হতে পারেন, তাদের কথা মাথায় রেখে তৈরি করা এই ফিচারটি, যা সাম্প্রতিক মডেলগুলোতে উপলব্ধ, আক্রমণের সুযোগ কমাতে ডিভাইসের নির্দিষ্ট কিছু ক্ষমতাকে ব্যাপকভাবে সীমাবদ্ধ করে।
কোম্পানিটি জানিয়েছে যে, আজ পর্যন্ত, লকডাউন মোড চালু থাকা কম্পিউটারে সরকারি স্পাইওয়্যার দ্বারা সফল অনুপ্রবেশের কোনো নজির নেই।যদিও এই বিবৃতিটি সম্পূর্ণ দায়মুক্তির সমতুল্য নয়, তবে এটি ইঙ্গিত দেয় যে সুরক্ষার এই অতিরিক্ত স্তরটি সাংবাদিক, আন্দোলনকর্মী, নীতিনির্ধারক বা নিবিড় নজরদারির অধীনে থাকা ব্যক্তিদের জন্য পার্থক্য গড়ে তুলতে পারে।
অন্যান্য ব্যবহারকারীদের জন্য, বিশেষ করে ইউরোপে, সুপারিশগুলোর মধ্যে রয়েছে আপডেট ইনস্টলেশনের সাথে কিছু মৌলিক ডিজিটাল স্বাস্থ্যবিধি অনুশীলনকে একত্রিত করুন।সন্দেহজনক লিঙ্ক সম্পর্কে সতর্ক থাকুন, পুরস্কারের প্রতিশ্রুতি বা আতঙ্ক সৃষ্টিকারী বার্তা দেওয়া পপ-আপ উইন্ডোতে ক্লিক করা থেকে বিরত থাকুন এবং যে পরিষেবাগুলি নিয়মিত ব্যবহার করা হয় না সেগুলি বন্ধ রাখুন।
কোন কোন অ্যাপ্লিকেশনগুলির অ্যাক্সেস আছে তা যাচাই করে নেওয়াও বাঞ্ছনীয়। বিশেষ সংবেদনশীল ডেটা যেমন অবস্থান বা ছবিএবং আপনার সবচেয়ে গুরুত্বপূর্ণ পরিষেবাগুলিতে শক্তিশালী পাসওয়ার্ডের পাশাপাশি দ্বি-পদক্ষেপ যাচাইকরণ ব্যবস্থা ব্যবহার করুন। এইভাবে, কোনো আক্রমণকারী যদি একটি ডিভাইস হ্যাক করতেও সক্ষম হয়, তাদের পক্ষে আক্রমণটি অন্যান্য প্ল্যাটফর্মে ছড়িয়ে দেওয়া আরও কঠিন হবে।
স্পেন এবং ইউরোপের বাকি অংশে ব্যবসা ও জনপ্রশাসন খাতে আইটি ম্যানেজাররা তাদের ডিভাইস বহরে iOS-এর কোন সংস্করণগুলো এখনও বিদ্যমান আছে, তা তাদের নিবিড়ভাবে পর্যবেক্ষণ করা উচিত।অভ্যন্তরীণ নিরাপত্তা নীতিমালায় আপডেট চেকিং অন্তর্ভুক্ত করলে মোবাইল ফোন ও ট্যাবলেটগুলো গুরুত্বপূর্ণ প্যাচ না পেয়ে মাসের পর মাস পিছিয়ে পড়া প্রতিরোধ করা যায়।
ডার্কসোর্ড এবং আইওএস ১৮ আপডেটকে ঘিরে এই পুরো ঘটনাটি থেকে এটা স্পষ্ট যে মোবাইল হুমকি এখন আর শুধু বিচ্ছিন্ন ঘটনা নয়।ব্যক্তিগত ও পেশাগত কাজগুলো ক্রমশ স্মার্টফোনে কেন্দ্রীভূত হওয়ায় সুবিধা এবং গুরুতর নিরাপত্তা ঝুঁকির মধ্যে পার্থক্য কমে এসেছে, এবং সমাধান না করা দুর্বলতাগুলোর জন্য চড়া মূল্য দিতে হচ্ছে।
