প্রধান টেকওয়ে
- গবেষকরা স্মার্ট লক আনলক করতে ব্লুটুথের দুর্বলতা কাজে লাগান।
- আক্রমণটি সাধারণ ব্লুটুথ নিরাপত্তা ব্যবস্থাকে বাইপাস করে।
-
বিশেষজ্ঞরা বলছেন যে আক্রমণের জটিলতার কারণে এটি সাধারণ অপরাধীদের দ্বারা ব্যবহার করার সম্ভাবনা খুবই কম।
একটি মাস্টার কী যা যেকোনো ব্লুটুথ স্মার্ট লক আনলক করতে পারে তা বেশ ভয়ঙ্কর শোনাচ্ছে। ভাল কথা, তাহলে, এইরকম কিছু তৈরি করা, যদিও সম্ভব, অতুচ্ছ।
সাইবারসিকিউরিটি রিসার্চ ফার্ম, এনসিসি গ্রুপ, ব্লুটুথ লো এনার্জি (বিএলই) স্পেসিফিকেশনে একটি দুর্বলতা প্রদর্শন করেছে যা আক্রমণকারীদের দ্বারা খোলা স্মার্ট লকগুলি ভাঙ্গার জন্য ব্যবহার করা যেতে পারে, যেমন টেসলায় ব্যবহৃত একটি, এবং অন্যান্য ফোন- ব্লুটুথ-ভিত্তিক প্রক্সিমিটি প্রমাণীকরণের উপর নির্ভর করে এমন-এ-কী সিস্টেম।সৌভাগ্যবশত, বিশেষজ্ঞরা বলছেন যে এই ধরনের আক্রমণ ব্যাপক আকারে ঘটার সম্ভাবনা কম, কারণ এটি অর্জন করতে প্রচুর পরিমাণে প্রযুক্তিগত কাজ করতে হবে।
"নিজের বাড়ি বা গাড়ি পর্যন্ত হেঁটে যেতে এবং দরজা স্বয়ংক্রিয়ভাবে আনলক করার সুবিধাটি বেশিরভাগ মানুষের কাছে পরিষ্কার এবং কাম্য," টোকেনের হেড অফ ইঞ্জিনিয়ারিং ইভান ক্রুগার ইমেলের মাধ্যমে লাইফওয়্যারকে বলেছেন৷ "কিন্তু এমন একটি সিস্টেম তৈরি করা যা শুধুমাত্র সঠিক ব্যক্তি বা মানুষের জন্য উন্মুক্ত করা একটি কঠিন কাজ।"
ব্লুটুথ রিলে আক্রমণ
যদিও গবেষকরা শোষণকে একটি ব্লুটুথ দুর্বলতা হিসাবে উল্লেখ করেছেন, তারা স্বীকার করেছেন যে এটি একটি ঐতিহ্যগত বাগ নয় যা একটি সফ্টওয়্যার প্যাচ দিয়ে ঠিক করা যেতে পারে, বা ব্লুটুথ স্পেসিফিকেশনে কোনও ত্রুটিও নেই৷ পরিবর্তে, তারা যুক্তি দিয়েছিল, এটি এমন উদ্দেশ্যে BLE ব্যবহার করার ফলে উদ্ভূত হয় যার জন্য এটি মূলত ডিজাইন করা হয়নি।
ক্রুগার ব্যাখ্যা করেছেন যে বেশিরভাগ ব্লুটুথ লকগুলি প্রক্সিমিটির উপর নির্ভর করে, অনুমান করে যে কিছু কী বা অনুমোদিত ডিভাইস অ্যাক্সেস দেওয়ার জন্য তালার একটি নির্দিষ্ট শারীরিক দূরত্বের মধ্যে রয়েছে৷
অনেক ক্ষেত্রে, চাবিটি একটি কম-পাওয়ার রেডিও সহ একটি বস্তু, এবং লকটি তার সংকেতের শক্তিকে প্রাথমিক ফ্যাক্টর হিসাবে ব্যবহার করে এটি কতটা কাছে বা দূরে তা আনুমানিক। ক্রুগার যোগ করেছেন যে এই ধরনের অনেক কী ডিভাইস, যেমন একটি কার ফোব, সব সময় সম্প্রচার করা হয়, কিন্তু যখন তারা শোনার সীমার মধ্যে থাকে তখনই তা লক দ্বারা "শুনা" যায়৷
সাইবার সিকিউরিটি সার্ভিস প্রোভাইডার সাইফিয়ারের ডিরেক্টর হরমান সিং বলেছেন, গবেষকরা যে আক্রমণটি দেখিয়েছেন সেটি হল ব্লুটুথ রিলে অ্যাটাক নামে পরিচিত, যেখানে একজন আক্রমণকারী লক এবং চাবির মধ্যে যোগাযোগ বন্ধ করতে এবং রিলে করার জন্য একটি ডিভাইস ব্যবহার করে।
"ব্লুটুথ রিলে আক্রমণ সম্ভব কারণ অনেক ব্লুটুথ ডিভাইস একটি বার্তার উৎসের পরিচয় সঠিকভাবে যাচাই করে না," সিং লাইফওয়্যারকে একটি ইমেল এক্সচেঞ্জে বলেছেন।
ক্রুগার যুক্তি দেন যে একটি রিলে আক্রমণ আক্রমণকারীদের সাথে সাদৃশ্যপূর্ণ একটি অ্যামপ্লিফায়ার ব্যবহার করে নাটকীয়ভাবে কীভাবে "জোরে" কী সম্প্রচার করছে তা বৃদ্ধি করে। তারা এটি ব্যবহার করে লক করা ডিভাইসটিকে কৌশলে ভাবতে চাবিটি কাছাকাছি থাকে যখন এটি না থাকে।
"এই ধরনের আক্রমণে প্রযুক্তিগত পরিশীলিততার মাত্রা প্রদত্ত সাদৃশ্যের চেয়ে অনেক বেশি, কিন্তু ধারণাটি একই," ক্রুগার বলেছেন৷
সেখানে ছিলাম, হয়ে গেল
CERT/CC-এর দুর্বলতা বিশ্লেষক উইল ডরম্যান স্বীকার করেছেন যে NCC গ্রুপের শোষণ আকর্ষণীয় হলেও, গাড়িতে উঠতে রিলে আক্রমণের কথা শোনা যায় না।
সিং সম্মত হয়েছেন, উল্লেখ করেছেন যে ব্লুটুথ প্রমাণীকরণের বিরুদ্ধে রিলে আক্রমণ নিয়ে অতীতে প্রচুর গবেষণা এবং বিক্ষোভ হয়েছে। এগুলি সনাক্তকরণ প্রক্রিয়া উন্নত করে এবং এনক্রিপশন ব্যবহার করে সফলভাবে রিলে আক্রমণগুলিকে ব্লক করে ব্লুটুথ ডিভাইসগুলির মধ্যে যোগাযোগ সুরক্ষিত করতে সাহায্য করেছে৷
ব্লুটুথ রিলে আক্রমণ সম্ভব কারণ অনেক ব্লুটুথ ডিভাইস একটি বার্তার উৎসের পরিচয় সঠিকভাবে যাচাই করে না।
তবে, এনসিসি গ্রুপের শোষণের তাৎপর্য হল যে এটি এনক্রিপশন সহ সাধারণ প্রশমনকে বাইপাস করতে পরিচালনা করে, সিং ব্যাখ্যা করেছেন।তিনি যোগ করেছেন যে এই ধরনের আক্রমণের সম্ভাবনা সম্পর্কে সচেতন হওয়া ছাড়াও খুব কম ব্যবহারকারীরা কিছু করতে পারে, কারণ ব্লুটুথ যোগাযোগকে টেম্পার-প্রুফ নিশ্চিত করা সফ্টওয়্যারটির পিছনে প্রস্তুতকারক এবং বিক্রেতার দায়িত্ব৷
"ব্যবহারকারীদের জন্য উপদেশ আগের মতই রয়ে গেছে; যদি আপনার গাড়িতে প্রক্সিমিটি-ভিত্তিক স্বয়ংক্রিয় আনলক করার ক্ষমতা থাকে, তাহলে সেই মূল উপাদানটিকে আক্রমণকারীর সীমার বাইরে রাখার চেষ্টা করুন," ডরম্যান পরামর্শ দেন। "এটি একটি চাবি ফোব বা স্মার্টফোনই হোক না কেন, আপনি ঘুমানোর সময় এটি সম্ভবত আপনার সদর দরজার কাছে ঝুলানো উচিত নয়।"
তবে, এই ধরণের নিরাপত্তা সমাধানের নির্মাতাদের হুক বন্ধ না করে, ক্রুগার যোগ করেছেন যে নির্মাতাদের আরও শক্তিশালী প্রমাণীকরণের দিকে অগ্রসর হওয়া উচিত। তার কোম্পানির টোকেন রিং-এর উদাহরণ তুলে ধরে ক্রুগার বলেন যে একটি সহজ সমাধান হল আনলকিং প্রক্রিয়ায় ব্যবহারকারীর অভিপ্রায়কে ডিজাইন করা। উদাহরণস্বরূপ, তাদের রিং, যা ব্লুটুথের মাধ্যমে যোগাযোগ করে, শুধুমাত্র তখনই তার সংকেত সম্প্রচার করা শুরু করে যখন ডিভাইসের পরিধানকারী এটিকে একটি অঙ্গভঙ্গি দিয়ে শুরু করে।
যা বলেছে, আমাদের মনকে স্বাচ্ছন্দ্যে রাখতে সাহায্য করার জন্য, ক্রুগার যোগ করেছেন যে লোকেদের এই ব্লুটুথ বা অন্যান্য রেডিও-ফ্রিকোয়েন্সি কী ফোবস শোষণের বিষয়ে উদ্বিগ্ন হওয়া উচিত নয়৷
"টেসলা প্রদর্শনীতে বর্ণিত আক্রমণের মতো আক্রমণ বন্ধ করার জন্য প্রযুক্তিগত পরিশীলিততার একটি অতুচ্ছ স্তরের প্রয়োজন এবং একজন আক্রমণকারীকে বিশেষভাবে একজন ব্যক্তিকে লক্ষ্য করতে হবে," ক্রুগার ব্যাখ্যা করেছেন। "[এর মানে] যে একটি ব্লুটুথ দরজা বা গাড়ির লকের একজন গড় মালিক এই ধরনের আক্রমণের সম্মুখীন হওয়ার সম্ভাবনা কম।"
