2019 সালে, অ্যাপল জনসাধারণের জন্য তার নিরাপত্তা বাউন্টি প্রোগ্রাম উন্মুক্ত করেছে৷ , যারা তাদের কাজে লাগানোর জন্য ব্যবহৃত কৌশলগুলি সহ Apple-এর সাথে সমালোচনামূলক iOS, iPadOS, macOS, tvOS, বা watchOS নিরাপত্তা দুর্বলতা শেয়ার করে তাদের জন্য মিলিয়ন পর্যন্ত অর্থপ্রদানের প্রস্তাব করে৷ অ্যাপলকে তার সফ্টওয়্যার প্ল্যাটফর্মগুলি যতটা সম্ভব নিরাপদ রাখতে সাহায্য করার জন্য প্রোগ্রামটি ডিজাইন করা হয়েছে৷
সেই সময়ের মধ্যে, রিপোর্টগুলি তা নির্দেশ করে কিছু নিরাপত্তা গবেষক প্রোগ্রামের সাথে অসন্তুষ্ট , এবং এখন একজন নিরাপত্তা গবেষক যিনি ছদ্মনাম ব্যবহার করেন 'illusionofchaos' তাদের একই রকম 'হতাশাজনক অভিজ্ঞতা' শেয়ার করেছেন।
আমি কিভাবে আমার আইফোনের ক্যাশে সাফ করব?
এ ব্লগ পোস্ট হাইলাইট Kosta Eleftheriou দ্বারা , নাম প্রকাশে অনিচ্ছুক নিরাপত্তা গবেষক বলেছেন যে তারা এই বছরের মার্চ থেকে মে মাসের মধ্যে অ্যাপলের কাছে চারটি শূন্য-দিনের দুর্বলতার কথা জানিয়েছেন, কিন্তু তারা বলেছে যে তিনটি দুর্বলতা এখনও iOS 15-এ উপস্থিত রয়েছে এবং একটি iOS 14.7-এ সংশোধন করা হয়েছে অ্যাপল তাদের কোনো কিছু না দিয়েই। ক্রেডিট
আমি Apple সিকিউরিটি বাউন্টি প্রোগ্রামে অংশগ্রহণ করার আমার হতাশাজনক অভিজ্ঞতা শেয়ার করতে চাই। আমি এই বছর 10 মার্চ থেকে 4 মে এর মধ্যে চারটি 0-দিনের দুর্বলতার রিপোর্ট করেছি, এখন পর্যন্ত তাদের মধ্যে তিনটি এখনও সর্বশেষ iOS সংস্করণে (15.0) উপস্থিত রয়েছে এবং একটি 14.7 এ স্থির করা হয়েছিল, তবে অ্যাপল এটি ঢেকে রাখার সিদ্ধান্ত নিয়েছে এবং নিরাপত্তা বিষয়বস্তু পৃষ্ঠায় এটি তালিকাভুক্ত না. যখন আমি তাদের মুখোমুখি হলাম, তারা ক্ষমা চেয়েছিল, আমাকে আশ্বস্ত করেছিল যে এটি একটি প্রক্রিয়াকরণ সমস্যার কারণে ঘটেছে এবং পরবর্তী আপডেটের সুরক্ষা সামগ্রী পৃষ্ঠায় এটি তালিকাভুক্ত করার প্রতিশ্রুতি দিয়েছে। তারপর থেকে তিনটি মুক্তি পেয়েছে এবং তারা প্রতিবার তাদের প্রতিশ্রুতি ভঙ্গ করেছে।
ব্যক্তিটি বলেছেন যে, গত সপ্তাহে, তারা অ্যাপলকে সতর্ক করেছিল যে তারা যদি প্রতিক্রিয়া না পায় তবে তারা তাদের গবেষণা প্রকাশ করবে। যাইহোক, তারা বলেছে যে অ্যাপল অনুরোধটি উপেক্ষা করেছে, যার ফলে তারা প্রকাশ্যে দুর্বলতা প্রকাশ করেছে।
আইফোন আট দেখতে কেমন?
শূন্য-দিনের দুর্বলতাগুলির মধ্যে একটি গেম সেন্টারের সাথে সম্পর্কিত এবং অভিযোগ করা হয়েছে যে অ্যাপ স্টোর থেকে ইনস্টল করা যেকোনো অ্যাপকে কিছু ব্যবহারকারীর ডেটা অ্যাক্সেস করার অনুমতি দেয়:
- অ্যাপল আইডি ইমেল এবং এর সাথে যুক্ত পুরো নাম
- অ্যাপল আইডি প্রমাণীকরণ টোকেন যা ব্যবহারকারীর পক্ষ থেকে *.apple.com-এ অন্তত একটি এন্ডপয়েন্ট অ্যাক্সেস করতে দেয়
- কোর ডুয়েট ডাটাবেসে সম্পূর্ণ ফাইল সিস্টেম রিড অ্যাক্সেস (মেল, এসএমএস, iMessage, থার্ড-পার্টি মেসেজিং অ্যাপ থেকে পরিচিতিগুলির একটি তালিকা রয়েছে এবং এই পরিচিতিগুলির সাথে সমস্ত ব্যবহারকারীর মিথস্ক্রিয়া সম্পর্কে মেটাডেটা রয়েছে (টাইমস্ট্যাম্প এবং পরিসংখ্যান সহ), এছাড়াও কিছু সংযুক্তি (যেমন URL এবং পাঠ্য)
- সম্পূর্ণ ফাইল সিস্টেম স্পিড ডায়াল ডাটাবেস এবং অ্যাড্রেস বুক ডাটাবেসে পড়ার অ্যাক্সেস সহ যোগাযোগের ছবি এবং অন্যান্য মেটাডেটা যেমন তৈরি এবং পরিবর্তনের তারিখগুলি (আমি এইমাত্র iOS 15-এ চেক করেছি এবং এটি একটি অ্যাক্সেসযোগ্য নয়, যাতে একটি অবশ্যই সম্প্রতি শান্তভাবে ঠিক করা হয়েছে) )
অন্য দুটি শূন্য-দিনের দুর্বলতা যা দৃশ্যত এখনও iOS 15-এ উপস্থিত রয়েছে, সেইসাথে iOS 14.7-এ প্যাচ করা একটি, ব্লগ পোস্টে বিশদ বিবরণ রয়েছে।
কিভাবে আমার আইক্লাউড অ্যাকাউন্ট অ্যাক্সেস করতে হয়
অ্যাপল এখনও ব্লগ পোস্টে মন্তব্য করেনি। কোম্পানি সাড়া দিলে আমরা এই গল্পটি আপডেট করব।সম্পর্কিত রাউন্ডআপ: iOS 15 , আইপ্যাড 15বিশেষ করে গেম সেন্টার শোষণ দেখতে মাধ্যমে ক্লিক করুন. এটা রুক্ষ। একটি কার্যকরী নিরাপত্তা প্রোগ্রামের সাথে এই ধরনের জিনিসগুলি প্রায় কখনই ফাটলের মধ্য দিয়ে স্লিপ করা উচিত নয়। পরিবর্তে, অ্যাপলের সাথে, এটি সাধারণ। এটি এত গভীরভাবে ভেঙে গেছে, তবুও কিছুই পরিবর্তন হয় না। এটা কি লাগবে? — মার্কো আর্মেন্ট (@marcoarment) 24 সেপ্টেম্বর, 2021
জনপ্রিয় পোস্ট