বেশ কয়েকটি দুর্বলতার খবর সম্প্রতি প্রকাশিত হয়েছিল নতুন সমস্ত Wi-Fi সক্ষম ডিভাইসগুলিতে সন্ধান করা 20 বছরেরও বেশি সময় ধরে ডেটিং করা এবং আক্রমণকারীর কাছে যদি এটি নাগালের মধ্যে থাকে তবে ডেটা চুরি করতে দেয়।
এই সিরিজের দুর্বলতাগুলি সিকিউরিটি গবেষক ম্যাথি ভানহোফ আবিষ্কার করেছিলেন, দুর্বলতাগুলি সম্মিলিতভাবে "ফ্রেগএট্যাকস" নামে পরিচিত।
"সনাক্ত করা দুর্বলতাগুলির মধ্যে তিনটি হ'ল ওয়াইফাই স্ট্যান্ডার্ডের ত্রুটিগুলি নকশা করে এবং তাই বেশিরভাগ ডিভাইসগুলিকে প্রভাবিত করে," ফ্রেগ অ্যাটাক আবিষ্কারকারী বেলজিয়ামের সুরক্ষা ও একাডেমিক গবেষক ম্যাথি ভানহোফ বলেছেন।
বাকীটি হ'ল "ওয়াইফাই পণ্যগুলিতে [ওয়াইফাই স্ট্যান্ডার্ড প্রয়োগের ক্ষেত্রে] ব্যাপক প্রোগ্রামিং ত্রুটির কারণে দুর্বলতাগুলি", "ভানহোফ বলেছিলেন।
"পরীক্ষাগুলি নির্দেশ করে যে প্রতিটি ওয়াইফাই পণ্য কমপক্ষে একটি দুর্বলতার দ্বারা প্রভাবিত হয় এবং বেশিরভাগ পণ্য একাধিক দুর্বলতার দ্বারা প্রভাবিত হয়," ভানহোফ বলেন, যিনি জুনের শেষের দিকে তার অনুসন্ধানে গভীরতর আলোচনা করার কথা বলেছিলেন। চলতি বছরের আগস্টে USENIX এ on '21 সুরক্ষা সম্মেলন।
উল্লেখ্য যে দুর্বলতার মধ্যে তিনটি হ'ল ওয়াই-ফাই স্ট্যান্ডার্ডের ত্রুটিগুলি ডিজাইন করে এবং বেশিরভাগ ডিভাইসগুলিকে প্রভাবিত করে, বাকি দুর্বলতাগুলি Wi-Fi পণ্যগুলিতে প্রোগ্রামিং ত্রুটির ফলস্বরূপ।
দুর্বলতার শোষণ রেডিও সীমার মধ্যে থাকা কোনও আক্রমণকারীকে বিভিন্ন উপায়ে ডিভাইসগুলিকে টার্গেট করতে দেয়। একটি উদাহরণে, কোনও আক্রমণকারী কোনও নিরাপদ ওয়াই-ফাই নেটওয়ার্কে প্লেইন টেক্সট ফ্রেমগুলি ইনজেক্ট করতে পারে। অন্য উদাহরণে, আক্রমণকারী কোনও সংক্রামিত ডিএনএস সার্ভার ব্যবহারের জন্য অনুরোধ করে ট্র্যাফিককে বাধা দিতে পারে।
ভানহোফ নোট করেছেন যে পরীক্ষাগুলি থেকে বোঝা যায় যে প্রতিটি ওয়াই-ফাই পণ্যটিতে কমপক্ষে একটি দুর্বলতা পাওয়া যায় এবং বেশিরভাগ পণ্য একাধিক দুর্বলতায় আক্রান্ত হয়, কারণ তিনি গুগলের জনপ্রিয় স্মার্টফোনগুলি সহ বিভিন্ন ওয়াই-ফাই ডিভাইস সহ ডিভাইসগুলি পরীক্ষা করেছিলেন। স্যামসুং এবং হুয়াওয়ের পাশাপাশি মাইক্রো-স্টার্ট ইন্টারন্যাশনাল, ডেল এবং অ্যাপল, ক্যানন এবং শাওমির আইওটি ডিভাইসগুলির কম্পিউটারগুলিও ছিল।
দুর্বলতা কাজে লাগানো হয়েছে তার কোনও প্রমাণ নেই কিছু সময় এবং প্রতিবেদনের দিকে সম্বোধন করার সময়, ওয়াই-ফাই অ্যালায়েন্স জানিয়েছে যে আপডেটগুলির মাধ্যমে দুর্বলতাগুলি হ্রাস করা হয় রুটিন ডিভাইসগুলির যা সন্দেহজনক সংক্রমণ সনাক্তকরণের অনুমতি দেয় বা সুরক্ষা প্রয়োগের সেরা অনুশীলনের সাথে সম্মতি উন্নত করে।
"ফ্রেগঅ্যাটাক্স সফ্টওয়্যার কীভাবে ডিজাইন দুর্বলতা এবং সম্পাদন দুর্বলতা থাকতে পারে তার একটি দুর্দান্ত উদাহরণ,"
"কেউ কোড সম্পাদক শুরু করার আগে, নকশার ধাপে হুমকি মডেলিং দ্বারা চালিত সুরক্ষিত নকশার নীতিগুলি অন্তর্ভুক্ত করা উচিত ... মোতায়েন এবং পরীক্ষার সময়, স্বয়ংক্রিয় সুরক্ষা পরীক্ষার সরঞ্জামগুলি সুরক্ষা দুর্বলতাগুলি সনাক্ত করতে সহায়তা করে। সুরক্ষা যাতে তারা লঞ্চের আগে ঠিক করা যায়। '
দুর্বলতাগুলি নিম্নলিখিত হিসাবে বর্ণিত হয়েছে:
ওয়াইফাই স্ট্যান্ডার্ড ডিজাইনের ত্রুটি
- CVE-2020-24588 - সমষ্টি আক্রমণ (নন-এসপিপি এ-এমএসডিইউ ফ্রেম গ্রহণ করে)।
- CVE-2020-24587: মিশ্র কী আক্রমণ (বিভিন্ন কীগুলির আওতায় এনক্রিপ্ট করা টুকরো পুনরায় করা)।
- CVE-2020-24586 - খণ্ড ক্যাশে আক্রমণ (যখন কোনও নেটওয়ার্কে কানেক্ট করার সময় মেমরি থেকে অংশগুলি সাফ করতে ব্যর্থ হয়েছে)।
ওয়াইফাই মান বাস্তবায়নের ত্রুটি
- CVE-2020-26145: সম্পূর্ণ ফ্রেম হিসাবে (একটি এনক্রিপ্ট করা নেটওয়ার্কে) সরল পাঠ্য স্ট্রিমিং খণ্ডগুলি গ্রহণ করা।
- CVE-2020-26144: ইথারটাইপ EAPOL (একটি এনক্রিপ্ট করা নেটওয়ার্কে) দিয়ে আরএফসি 1042 শিরোনাম দিয়ে শুরু হওয়া সাদামাটা পাঠ্য A-MSDU ফ্রেমগুলির গ্রহণযোগ্যতা।
- CVE-2020-26140: একটি সুরক্ষিত নেটওয়ার্কে সাধারণ পাঠ্য ডেটা ফ্রেমের গ্রহণযোগ্যতা।
- CVE-2020-26143: সুরক্ষিত নেটওয়ার্কে খণ্ডিত সমতল পাঠ্য ডেটা ফ্রেমের গ্রহণযোগ্যতা।
অন্যান্য বাস্তবায়ন ব্যর্থতা
- CVE-2020-26139: প্রেরক এখনও প্রমাণীকৃত না হওয়া সত্ত্বেও EAPOL ফ্রেম ফরোয়ার্ডিং (কেবলমাত্র এপিগুলিকেই প্রভাবিত করা উচিত)।
- CVE-2020-26146: অবিচ্ছিন্ন প্যাকেট নম্বর সহ এনক্রিপ্ট করা টুকরো পুনরায় করা।
- CVE-2020-26147: মিশ্র এনক্রিপ্টড / সরল পাঠ্য খণ্ডগুলির পুনরায় স্থান।
- CVE-2020-26142: খণ্ডিত ফ্রেমগুলি সম্পূর্ণ ফ্রেম হিসাবে প্রক্রিয়া করা হচ্ছে।
- CVE-2020-26141: খণ্ডিত ফ্রেমগুলি MIC TKIP যাচাই করা হয়নি।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি পরামর্শ করতে পারেন নিম্নলিখিত লিঙ্ক।