কি ঘটেছে: নিরাপত্তা গবেষকরা একটি 12 বছর বয়সী ব্রাউজার-ভিত্তিক ডেটা চুরির কৌশলকে পুনরুজ্জীবিত করেছেন Android ডিভাইসগুলিকে লক্ষ্য করার জন্য, একটি শক্তিশালী নতুন আক্রমণ তৈরি করেছে যার নাম Pixnapping।
- পদ্ধতিটি একটি দূষিত অ্যান্ড্রয়েড অ্যাপকে বিশেষ অনুমতির প্রয়োজন ছাড়াই – Google মানচিত্র , Gmail, সিগন্যাল, ভেনমো এবং এমনকি Google প্রমাণীকরণকারীর 2FA কোড থেকে সংবেদনশীল তথ্য সহ অন্যান্য অ্যাপ বা ওয়েবসাইটে প্রদর্শিত ডেটা চুরি করতে দেয়৷
- পিক্সন্যাপিং একটি হার্ডওয়্যার সাইড চ্যানেল (GPU.zip) ব্যবহার করে রেন্ডারিং সময় পরিমাপের মাধ্যমে স্ক্রীন পিক্সেল ডেটা পড়ার জন্য কাজ করে। স্বচ্ছ ক্রিয়াকলাপগুলিকে ওভারলে করে এবং পিক্সেলগুলি কত দ্রুত রেন্ডার হয় তা নির্ধারণ করে, আক্রমণকারীরা পিক্সেল দ্বারা স্ক্রীন সামগ্রী পিক্সেল পুনর্গঠন করতে পারে। যদিও কৌশলটি শুধুমাত্র প্রতি সেকেন্ডে 0.6 থেকে 2.1 পিক্সেল লিক করে, এটি প্রমাণীকরণ কোডের মতো সংবেদনশীল ডেটা পুনরুদ্ধার করার জন্য যথেষ্ট।
- দুর্বলতা, CVE-2025-48561, Android 13 থেকে 16 পর্যন্ত চলমান ডিভাইসগুলিকে প্রভাবিত করে (Pixel 6–9 এবং Galaxy S25 সহ)। 2025 সালের সেপ্টেম্বরে একটি আংশিক প্যাচ জারি করা হয়েছিল, ডিসেম্বরে প্রত্যাশিত আরও ব্যাপক সমাধানের সাথে।
কেন এটি গুরুত্বপূর্ণ: পিক্সন্যাপিং অ্যান্ড্রয়েডের রেন্ডারিং এবং জিপিইউ আর্কিটেকচারের একটি মৌলিক ত্রুটিকে প্রকাশ করে, এটি দেখায় যে এমনকি দীর্ঘ-সমাধান করা আক্রমণগুলিও নতুন আকারে পুনরুত্থিত হতে পারে।
- কারণ এটির জন্য বিশেষ অনুমতির প্রয়োজন নেই, গুগল প্লে স্টোর থেকে ডাউনলোড করা একটি আপাতদৃষ্টিতে নিরীহ অ্যাপ গোপনে স্পর্শকাতর অন-স্ক্রিন ডেটা গুপ্তচরবৃত্তি করতে পারে।
- আক্রমণটি সাইড-চ্যানেল দুর্বলতার সাথে একটি বিস্তৃত সমস্যাও তুলে ধরে — লিক সফ্টওয়্যার বাগ দ্বারা নয় বরং কীভাবে হার্ডওয়্যার ডেটা প্রক্রিয়া করে।
- এগুলি সনাক্ত করা এবং ঠিক করা কুখ্যাতভাবে কঠিন, মোবাইল সুরক্ষার জন্য চলমান চ্যালেঞ্জগুলি তৈরি করে৷
আমি কেন যত্ন নেব: আপনি যদি অ্যান্ড্রয়েড ব্যবহার করেন, তবে এই গবেষণাটি ব্যবহারকারীর কোনো পদক্ষেপ বা সতর্কতা ছাড়াই গোপন তথ্য চুরির সম্ভাবনাকে আন্ডারস্কোর করে।
- অ্যাপগুলি আপনার স্ক্রিনের কার্যকলাপ পর্যবেক্ষণ করে নীরবে ব্যাঙ্কিং তথ্য, 2FA কোড বা অবস্থান ডেটার মতো সংবেদনশীল বিবরণ সংগ্রহ করতে পারে।
- যদিও Google বলে যে শোষণের কোন প্রমাণ নেই, এই আক্রমণের নিছক অস্তিত্বই দেখায় যে ম্যালওয়্যার ঐতিহ্যগত সুরক্ষা প্রতিরক্ষাকে বাইপাস করতে পারে।
এর পরে কী: ব্লার API-এর অপব্যবহার সীমিত করতে এবং সনাক্তকরণ উন্নত করতে Google আরও সংশোধন করছে৷ যাইহোক, গবেষকরা সতর্ক করেছেন যে সমাধানগুলি ইতিমধ্যেই বিদ্যমান, এবং অন্তর্নিহিত GPU.zip দুর্বলতা অমীমাংসিত রয়ে গেছে। একটি স্থায়ী সমাধান না পাওয়া পর্যন্ত, ব্যবহারকারীদের অবিশ্বস্ত অ্যাপ ইনস্টল করা সীমিত করা উচিত এবং ডিভাইসগুলি আপডেট রাখা উচিত। নিরাপত্তা বিশেষজ্ঞরাও আশা করেন যে আক্রমণকারীরা এই অত্যাধুনিক কৌশলগুলিকে পরিমার্জন করার কারণে পিক্সন্যাপিংয়ের মতো আরও সাইড-চ্যানেল আক্রমণের আবির্ভাব ঘটবে।
