কী ঘটেছে: নিরাপত্তা গবেষকরা অ্যান্ড্রয়েড ডিভাইসগুলিকে লক্ষ্য করে ১২ বছরের পুরনো ব্রাউজার-ভিত্তিক ডেটা চুরির কৌশল পুনরুজ্জীবিত করেছেন , যার ফলে পিক্সন্যাপিং নামে একটি শক্তিশালী নতুন আক্রমণ তৈরি হয়েছে।
- এই পদ্ধতিটি একটি ক্ষতিকারক অ্যান্ড্রয়েড অ্যাপকে অন্যান্য অ্যাপ বা ওয়েবসাইটে প্রদর্শিত ডেটা চুরি করতে দেয় — যার মধ্যে রয়েছে Google Maps , Gmail, Signal, Venmo, এমনকি Google Authenticator থেকে 2FA কোডের সংবেদনশীল তথ্য — বিশেষ অনুমতি ছাড়াই।
- পিক্সন্যাপিং একটি হার্ডওয়্যার সাইড চ্যানেল (GPU.zip) ব্যবহার করে রেন্ডারিং সময় পরিমাপের মাধ্যমে স্ক্রিন পিক্সেল ডেটা পড়ার মাধ্যমে কাজ করে। স্বচ্ছ কার্যকলাপ এবং পিক্সেল কত দ্রুত রেন্ডার হয় তার সময় নির্ধারণ করে, আক্রমণকারীরা পিক্সেল অনুসারে স্ক্রিন কন্টেন্ট পিক্সেল পুনর্গঠন করতে পারে। যদিও এই কৌশলটি প্রতি সেকেন্ডে মাত্র 0.6 থেকে 2.1 পিক্সেল ফাঁস করে, তবে এটি প্রমাণীকরণ কোডের মতো সংবেদনশীল ডেটা পুনরুদ্ধারের জন্য যথেষ্ট।
- CVE-2025-48561 নামক দুর্বলতাটি Android 13 থেকে 16 (Pixel 6–9 এবং Galaxy S25 সহ) চলমান ডিভাইসগুলিকে প্রভাবিত করে। 2025 সালের সেপ্টেম্বরে একটি আংশিক প্যাচ জারি করা হয়েছিল, ডিসেম্বরে আরও ব্যাপক সমাধানের আশা করা হচ্ছে।
কেন এটি গুরুত্বপূর্ণ: পিক্সন্যাপিং অ্যান্ড্রয়েডের রেন্ডারিং এবং জিপিইউ আর্কিটেকচারের একটি মৌলিক ত্রুটি উন্মোচন করে, যা প্রমাণ করে যে দীর্ঘমেয়াদী সমাধান হওয়া আক্রমণগুলিও নতুন রূপে পুনরুত্থিত হতে পারে।
- যেহেতু এর জন্য বিশেষ অনুমতির প্রয়োজন হয় না, তাই গুগল প্লে স্টোর থেকে ডাউনলোড করা একটি আপাতদৃষ্টিতে ক্ষতিকারক অ্যাপ গোপনে সংবেদনশীল অন-স্ক্রিন ডেটা গুপ্তচরবৃত্তি করতে পারে।
- এই আক্রমণটি সাইড-চ্যানেলের দুর্বলতার একটি বৃহত্তর সমস্যাও তুলে ধরে – সফ্টওয়্যার বাগের কারণে নয় বরং হার্ডওয়্যার কীভাবে ডেটা প্রক্রিয়া করে তার কারণে ফাঁস হয়।
- এগুলো সনাক্ত করা এবং ঠিক করা অত্যন্ত কঠিন, যা মোবাইল নিরাপত্তার জন্য চলমান চ্যালেঞ্জ তৈরি করছে।
আমার কেন চিন্তা করা উচিত: আপনি যদি অ্যান্ড্রয়েড ব্যবহার করেন, তাহলে এই গবেষণাটি ব্যবহারকারীর কোনও পদক্ষেপ বা সতর্কতা ছাড়াই গোপনে ডেটা চুরির সম্ভাবনার উপর জোর দেয়।
- অ্যাপগুলি কেবল আপনার স্ক্রিন কার্যকলাপ পর্যবেক্ষণ করে নীরবে ব্যাংকিং তথ্য, 2FA কোড, বা অবস্থানের ডেটার মতো সংবেদনশীল বিবরণ সংগ্রহ করতে পারে।
- যদিও গুগল বলছে যে শোষণের কোনও প্রমাণ নেই, এই আক্রমণের অস্তিত্বই দেখায় যে ম্যালওয়্যার ঐতিহ্যবাহী নিরাপত্তা প্রতিরক্ষা ব্যবস্থাকে এড়িয়ে যেতে পারে।
এরপর কী: ব্লার এপিআই-এর অপব্যবহার সীমিত করতে এবং সনাক্তকরণ উন্নত করতে গুগল আরও সমাধান আনছে। তবে, গবেষকরা সতর্ক করে দিয়েছেন যে সমাধান ইতিমধ্যেই বিদ্যমান, এবং অন্তর্নিহিত GPU.zip দুর্বলতা অমীমাংসিত রয়ে গেছে। স্থায়ী সমাধান না পাওয়া পর্যন্ত, ব্যবহারকারীদের অবিশ্বস্ত অ্যাপ ইনস্টল করা সীমিত করা উচিত এবং ডিভাইসগুলি আপডেট রাখা উচিত। নিরাপত্তা বিশেষজ্ঞরা আরও আশা করছেন যে আক্রমণকারীরা এই অত্যাধুনিক কৌশলগুলিকে আরও উন্নত করার সাথে সাথে পিক্সন্যাপিংয়ের মতো আরও সাইড-চ্যানেল আক্রমণের আবির্ভাব ঘটবে।
