LassPass, ম্যালওয়্যার সহ একটি অ্যাপ, সম্প্রতি অ্যাপ স্টোরের মধ্যে লুকিয়েছে যার ফলে ডেটা ফাঁসের একটি বড় ঝুঁকি রয়েছে।
তাই আপনি যদি এটি ডাউনলোড করে থাকেন, বা মনে করেন যে আপনি পরিচয় চুরির শিকার হতে পারেন যা LastPass-এ করা হয়েছিল, তাহলে আমরা আপনাকে এই নিবন্ধটি পড়া চালিয়ে যাওয়ার পরামর্শ দিব যেখানে আমরা ব্যাখ্যা করব যে এটি কীভাবে ঘটেছে এবং আপনি যদি এতে পড়ে থাকেন তবে আপনি কী করতে পারেন। প্রতারণা
সাইবার অপরাধীরা অ্যাপ স্টোর ফিল্টারকে বাইপাস করে
LassPass-এর ক্ষেত্রে নিয়মের ব্যতিক্রম নয়: এবং যদিও এটি অ্যান্ড্রয়েডেও ঘটেছে, এটি প্রথমবার নয় যে ম্যালওয়্যার সহ একটি অ্যাপ অ্যাপ স্টোরে লুকিয়েছে: প্রথমটি ছিল 2012 সালের একটি অ্যাপ যার নাম ফাইন্ড অ্যান্ড কল একটি কল ম্যানেজারের নিরীহ চেহারা একটি অ্যাপ লুকিয়ে রেখেছিল যা স্প্যাম পাঠানোর জন্য আপনার পরিচিতিগুলি থেকে তার ডেভেলপারের কাছে ডেটা পাঠায়৷
LassPass হল এইগুলির মধ্যে আরেকটি অ্যাপ্লিকেশন যার ভিতরে লুকিয়ে আছে অন্য কিছু, কিন্তু তা এটি একটি পাসওয়ার্ড ম্যানেজার হওয়ার কারণে একটি বিশেষ মাধ্যাকর্ষণ রয়েছে…যেখানে লোকেরা সাধারণত ইমেল থেকে শুরু করে ব্যাঙ্ক পর্যন্ত সবকিছু সঞ্চয় করে, সরাসরি আমাদের অর্থনৈতিক সততা এবং ব্যক্তিগত ডেটাকে ঝুঁকির মধ্যে ফেলে।
অ্যাপ স্টোরে ম্যালওয়্যার লুকানোর জন্য, চারটি ভিন্ন পদ্ধতি রয়েছে যা ডেভেলপারদের দ্বারা শোষিত হতে পারে, যদিও অ্যাপল এই সময় এটি কীভাবে ঘটেছে তা ব্যাখ্যা করতে চায়নি:
সামাজিক প্রকৌশল: ম্যালওয়্যার লুকানোর জন্য "পুরাতন নির্ভরযোগ্য"
দূষিত বিকাশকারীরা করতে পারেন ব্যবহারকারী বা অ্যাপ স্টোর পর্যালোচকদের ধোঁকা দিতে সামাজিক প্রকৌশল কৌশল ব্যবহার করুনএবং. এবং এই কিছুটা বোমাবাজি নামের নীচে এমন কিছু লুকিয়ে থাকে যা আমরা সকলেই আমাদের দৈনন্দিন জীবনে জানি: "কিছু পাওয়ার জন্য প্রতারণা।"
বিশেষত, এই ক্ষেত্রে প্রযোজ্য সামাজিক প্রকৌশল প্রাথমিক পর্যালোচনার সময় অ্যাপের দূষিত আচরণ লুকিয়ে রাখা বা এমনকি পর্যালোচকদের বোঝানোর জন্য মনস্তাত্ত্বিক ম্যানিপুলেশন কৌশল ব্যবহার করে যে এটি একটি নিরাপদ অ্যাপ এবং ব্যবহারকারীদের অ্যাপ ইনস্টল করতে রাজি করানো জড়িত থাকতে পারে।
কোড অস্পষ্টতা এবং সনাক্তকরণ ফাঁকি কৌশল: ম্যালওয়্যার ভালভাবে লুকিয়ে রাখা
বিকাশকারীরা পারেন অস্পষ্ট অ্যাপ্লিকেশন কোড বিশ্লেষণ এবং সনাক্ত করা কঠিন করতে অ্যাপ স্টোর সিকিউরিটি সিস্টেম দ্বারা। এটি পর্যালোচনার প্রক্রিয়া চলাকালীন দূষিত আচরণ সনাক্ত করা পর্যালোচনাকারীদের পক্ষে আরও কঠিন করে তুলতে পারে।
এবং এখানে মানুষের অপরাধমূলক উদ্ভাবনের কোন সীমা নেই: একটি অ্যাপের কোডের সাথে টিঙ্কার করা থেকে যাতে এর সিনট্যাক্স অস্বাভাবিক হয় ("pwd" কে "পাসওয়ার্ড", অর্থাৎ পাসওয়ার্ড বলতে লজ্জা লাগে), নির্দেশাবলী সন্নিবেশ করান যা পর্যালোচকদের বিভ্রান্ত করার জন্য কোথাও না যায় এবং অন্য কিছুতে ফোকাস না করে যা সেখানে থাকতে পারে, অ্যাপ কোড খণ্ডিত করুন (সেখানে কিছু লুকানোর জন্য এটিকে আন্তঃসম্পর্কিত টুকরো টুকরো করে দিন) বা এমনকি অতিরিক্ত জটিলতাও প্রবর্তন করে যা পর্যালোচককে চক্কর দিতে চায়।
দুর্বলতা শোষণ: কম এবং কম, কিন্তু প্রশংসনীয়
অ্যাপ স্টোর পর্যালোচনা প্রক্রিয়া বা অন্তর্নিহিত অপারেটিং সিস্টেমে দুর্বলতা থাকলে, দূষিত বিকাশকারীরা তারা এই দুর্বলতাকে কাজে লাগাতে পারে যাতে তাদের আবেদন নজরে না পড়ে অথবা অ্যাপটি ব্যবহারকারীদের ডিভাইসে হয়ে গেলে দূষিত কোড ইনস্টল করতে। এই কারণে, আপনার সর্বদা সর্বশেষ ইনস্টল করা উচিত সফ্টওয়্যার আপডেট পাওয়া যায়।
অনুমোদন-পরবর্তী আপডেট: পরে ম্যালওয়্যারে লুকোচুরি
এটি ঘটে যখন একজন বিকাশকারী কোনও দূষিত কোড ছাড়াই একটি পরিষ্কার অ্যাপ প্রকাশ করে, কিন্তু পরবর্তী সংশোধনগুলিতে ভিতরে কিছু ম্যালওয়্যার যুক্ত করে।
যখন বিকাশকারীরা অ্যাপটির প্রাথমিক পর্যালোচনা পাস করার পরে এর আচরণ পরিবর্তন করে, তখন এটি সমস্যাযুক্ত পরিস্থিতির দিকে নিয়ে যেতে পারে, কারণ অ্যাপ স্টোরের পর্যালোচকরা অ্যাপ কোডে করা পরিবর্তনগুলিকে আর পর্যালোচনা না করা বেছে নিতে পারেন।
কিভাবে LassPass অ্যাপ স্টোরে প্রবেশ করতে পারে?
আমরা যদি একটু তাত্ত্বিক বিবেচনা করি, এবং নিরাপত্তা ব্যর্থতা কীভাবে হয়েছে তা বিবেচনা করে, আমরা যে পদ্ধতিগুলি বর্ণনা করেছি তার মধ্যে যদি আমাদের বাজি ধরতে হয়, আমি অবশ্যই ঝুঁকি নেব যে এটি একটি হতে পারে দুটির সংমিশ্রণ: সামাজিক প্রকৌশল এবং কোড অস্পষ্টতা.
অন্য বৈধ পাসওয়ার্ড ম্যানেজারের সাথে LassPass-এর সাদৃশ্যের কারণে, সাইবার অপরাধীরা অ্যাপটিকে এটির সম্ভাব্য ডেরিভেটিভ হিসাবে ছদ্মবেশ দেওয়ার চেষ্টা করতে সক্ষম হয়েছে, এইভাবে অ্যাপ স্টোরের মানব এবং ভার্চুয়াল পর্যালোচকদের প্রতারিত করেছে, একটি পরিমার্জিত কোডের সংমিশ্রণে যা গোপন করেছে। ট্রোজান হর্স যে ভিতরে ছিল.
LassPass LastPass এর সাথে বিভ্রান্ত হয়েছে
LastPass হল সেই অ্যাপ যা পরিচয় চুরির শিকার হয়েছে
LastPassiOS এর, এই স্পুফিং এর শিকার, একজন জনপ্রিয় অনলাইন পাসওয়ার্ড ম্যানেজার যেটি ব্যবহারকারীদের নিরাপদে পাসওয়ার্ড এবং অন্যান্য সংবেদনশীল তথ্য সংরক্ষণ করার অনুমতি দেয়, যেমন ক্রেডিট কার্ড নম্বর, সুরক্ষিত নোট এবং লগইন ডেটা, সবই একটি একক মাস্টার পাসওয়ার্ড সহ একটি এনক্রিপ্ট করা ভল্টের মধ্যে।
এবং আমি মনে করি যে তারা কেন এটি বেছে নিয়েছে তা জানতে আপনাকে খুব স্মার্ট হতে হবে না এবং ছদ্মবেশী করার জন্য অন্য অ্যাপ্লিকেশন নয়: এটির ব্যবহারকারীর সংখ্যা এবং এর প্রকৃতি, যাবিভিন্ন ওয়েবসাইট এবং পরিষেবার ব্যবহারকারীর অ্যাকাউন্টগুলির একটি ভাল অংশ লুকিয়ে রাখে, সংবেদনশীল ডেটা ধরে রাখতে চায় এমন কোনও দূষিত ব্যবহারকারীর জন্য এটি একটি মণি করে তোলে৷
সৌভাগ্যবশত, LastPass ছদ্মবেশ শনাক্ত করেছে এবং অ্যাপলকে রিপোর্ট করেছে, যার ফলে কয়েক ঘন্টা পরে LassPass প্রত্যাহার করা হয়েছে এবং যদিও কিছু লোক ইতিমধ্যে এটি ডাউনলোড করেছে এবং ক্ষতি ইতিমধ্যেই হয়ে গেছে, এই ক্রিয়াকলাপের জন্য ধন্যবাদ আরও সন্দেহজনক ব্যবহারকারীদের মধ্যে পড়া থেকে রোধ করা সম্ভব হয়েছিল। ফাঁদ
আপনার যদি LassPass ইনস্টল করা থাকে তাহলে কি হবে
প্রথম জিনিসটি স্পষ্ট করা: শুধুমাত্র LassPass ইনস্টল করা খারাপ কিছু করে না, যেহেতু এতে কোনো ম্যালওয়্যার নেই যা ফোনকে সংক্রমিত করে। সে সমস্যাটি হল যখন আপনি এটি খুলেছেন এবং এটি ব্যবহার করেছেন, এতে আপনার ডেটা রেকর্ড করছেন, যেহেতু প্রোগ্রামটি স্বয়ংক্রিয়ভাবে আক্রমণকারীর মালিকানাধীন একটি সার্ভারে সেই ডেটা পাঠায়, তাই আপনি তাকে আপনার সমস্ত অ্যাকাউন্টে সরাসরি অ্যাক্সেস দেবেন।
যে কোনো ক্ষেত্রে, আপনার যদি LassPass ইনস্টল করা থাকে, আমরা আপনাকে এটি মুছে ফেলার পরামর্শ দিই, কিন্তু যত তাড়াতাড়ি সম্ভব পরিবর্তন করার জন্য আপনি অ্যাপে প্রবেশ করা পাসওয়ার্ডগুলি পর্যালোচনা করার আগে নয়আক্রমণকারীর হাতে পৌঁছানোর আগেই।
আপনি যদি আপনার ব্যাঙ্ক অ্যাকাউন্টের বিবরণ লিখে থাকেন, এটি আপনার সত্তার সাথে যোগাযোগ করতে আঘাত করে না। যাতে তারা অ্যাকাউন্টটি অডিট করতে পারে এবং কোনো সন্দেহজনক বা অস্বাভাবিক গতিবিধি শনাক্ত করলে তা সাময়িকভাবে ব্লক করতে পারে।