গুগল সতর্ক করেছে যে তার অ্যান্ড্রয়েড অপারেটিং সিস্টেমকে প্রভাবিত করে এমন একটি নিরাপত্তা ত্রুটি বন্য অঞ্চলে সক্রিয় শোষণের আওতায় এসেছে।
Android operating system |
CVE-2024-43093 হিসাবে ট্র্যাক করা দুর্বলতাটিকে Android ফ্রেমওয়ার্ক কম্পোনেন্টে বিশেষাধিকার বৃদ্ধির ত্রুটি হিসাবে বর্ণনা করা হয়েছে যার ফলে "Android/data," "Android/obb," এবং "Android/sandbox" ডিরেক্টরিতে অননুমোদিত অ্যাক্সেস হতে পারে। এবং এর সাব-ডিরেক্টরি, একটি কোড কমিট মেসেজ অনুযায়ী।
বাস্তব-বিশ্বের আক্রমণে কীভাবে দুর্বলতাকে অস্ত্রে পরিণত করা হচ্ছে সে সম্পর্কে বর্তমানে কোন বিশদ বিবরণ নেই, তবে গুগল তার মাসিক বুলেটিনে স্বীকার করেছে যে এটি "সীমিত, লক্ষ্যবস্তু শোষণের অধীনে হতে পারে।"
টেক জায়ান্ট CVE-2024-43047-কেও পতাকাঙ্কিত করেছে, Qualcomm চিপসেটে একটি এখন প্যাচ করা নিরাপত্তা বাগ, সক্রিয়ভাবে শোষণ করা হয়েছে। ডিজিটাল সিগন্যাল প্রসেসর (ডিএসপি) পরিষেবাতে ব্যবহার-পরে-মুক্ত দুর্বলতা, সফল শোষণ মেমরি দুর্নীতির দিকে নিয়ে যেতে পারে
গত মাসে, চিপমেকার গুগল প্রোজেক্ট জিরো গবেষক শেঠ জেনকিন্স এবং কংগুই ওয়াংকে ত্রুটিটি রিপোর্ট করার জন্য এবং অ্যামনেস্টি ইন্টারন্যাশনাল সিকিউরিটি ল্যাবকে বন্য কার্যকলাপ নিশ্চিত করার জন্য কৃতিত্ব দিয়েছে।
অ্যাডভাইজরিটি ত্রুটিকে লক্ষ্য করে শোষণের কার্যকলাপ সম্পর্কে বা কখন এটি শুরু হতে পারে সে সম্পর্কে কোনও বিশদ বিবরণ দেয় না, যদিও এটি সম্ভব যে এটি সুশীল সমাজের সদস্যদের লক্ষ্য করে অত্যন্ত লক্ষ্যবস্তু স্পাইওয়্যার আক্রমণের অংশ হিসাবে লাভবান হতে পারে।
বর্তমানে এটিও জানা যায়নি যে উভয় নিরাপত্তা দুর্বলতাগুলিকে বিশেষ সুবিধাগুলি উন্নত করতে এবং কোড কার্যকর করার জন্য একটি শোষণ শৃঙ্খল হিসাবে একসাথে তৈরি করা হয়েছিল কিনা।
CVE-2024-43093 হল CVE-2024-32896-এর পরে দ্বিতীয় সক্রিয়ভাবে শোষিত অ্যান্ড্রয়েড ফ্রেমওয়ার্কের ত্রুটি, যা Google দ্বারা 2024 সালের জুন এবং সেপ্টেম্বরে প্যাচ করা হয়েছিল৷ যদিও এটি মূলত শুধুমাত্র পিক্সেল ডিভাইসগুলির জন্য সমাধান করা হয়েছিল, কোম্পানিটি পরে নিশ্চিত করেছে যে ত্রুটিটি প্রভাব ফেলে৷ বৃহত্তর অ্যান্ড্রয়েড ইকোসিস্টেম।