৩ সেকেন্ডে আপনার ক্রিপ্টো সিড ফ্রেজ চুরি করতে পারে এমন গুরুতর অ্যান্ড্রয়েড দুর্বলতা

Ledger-এর অভ্যন্তরীণ নিরাপত্তা ল্যাব Android-এর WebView কম্পোনেন্টে একটি জিরো-ডে দুর্বলতা প্রকাশ করেছে যা ক্ষতিকারক ব্যাকগ্রাউন্ড অ্যাপ্লিকেশনগুলিকে সফটওয়্যার ওয়ালেট থেকে ২৪-শব্দের রিকভারি সীড তিন সেকেন্ডের মধ্যে বের করতে দেয়।

আক্রমণ কীভাবে কাজ করে

Ledger Donjon গবেষকদের দ্বারা Memory-Mirror নামে নামকরণ করা এই দুর্বলতা, Android System WebView-এ একটি বাগ শোষণ করে, যে কম্পোনেন্টটি অ্যাপ্লিকেশনের ভিতরে ওয়েব কন্টেন্ট রেন্ডার করে। ব্যাকগ্রাউন্ডে চলমান একটি ক্ষতিকারক অ্যাপ একটি মেমরি লিক ট্রিগার করতে পারে যা একটি ওয়ালেট অ্যাপ্লিকেশনের ব্যক্তিগত মেমরি স্পেসের বিষয়বস্তুকে একটি শেয়ার্ড ক্যাশে মিরর করে যা স্বাভাবিক স্যান্ডবক্স সীমানার বাইরে অ্যাক্সেসযোগ্য।

Android-এর স্যান্ডবক্সিং আর্কিটেকচার ডিভাইসে প্রতিটি অ্যাপ্লিকেশনের মেমরিকে অন্য সকল অ্যাপ্লিকেশন থেকে বিচ্ছিন্ন করার জন্য ডিজাইন করা হয়েছে। Memory-Mirror নির্দিষ্ট শর্তের অধীনে সেই বিচ্ছিন্নতা বাইপাস করে যা তৈরি করা কঠিন নয়। যদি কোনও ব্যবহারকারী কোনও সফটওয়্যার ওয়ালেটে তাদের সীড ফ্রেজ প্রবেশ করায় যখন একটি আপসকৃত অ্যাপ্লিকেশন ব্যাকগ্রাউন্ডে চলছে, তাহলে সীডটি প্রবেশের তিন সেকেন্ডের মধ্যে শেয়ার্ড ক্যাশ থেকে বের করা যায়। ব্যবহারকারী কিছু অস্বাভাবিক দেখেন না। ওয়ালেট অ্যাপ্লিকেশন স্বাভাবিকভাবে আচরণ করে। সীডটি চলে গেছে।

আক্রমণের জন্য ডিভাইসে ইতিমধ্যে একটি ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল থাকা প্রয়োজন, যা বাধাকে উল্লেখযোগ্যভাবে কমিয়ে দেয় কারণ প্রচুর পরিমাণে প্রতারণামূলক অ্যাপ্লিকেশন অ্যাপ স্টোর পর্যালোচনা প্রক্রিয়ার মধ্য দিয়ে যায় এবং ক্রিপ্টো কমিউনিটিতে সাইডলোডেড APK ফাইলের ব্যাপকতা রয়েছে।

এক্সপোজারের পরিসীমা

Ledger Donjon অনুমান করে যে মার্চ ২০২৬ সিকিউরিটি প্যাচ ছাড়া সংস্করণ ১২ থেকে ১৫ চালিত ৭০%-এর বেশি Android ডিভাইস দুর্বল রয়েছে। Google ৫ মার্চ Pixel ডিভাইসগুলিতে ফিক্স রোল আউট করা শুরু করেছে। Samsung এবং Xiaomi প্যাচগুলি মার্চের শেষের দিকে প্রত্যাশিত। যে সকল Android ডিভাইস .০৩২৬ দিয়ে শেষ হওয়া বিল্ড সংস্করণ পায়নি সেগুলি বর্তমানে সংবেদনশীল।

আজ আগে প্রকাশিত CoinGecko হট ওয়ালেট র‍্যাঙ্কিং Trust Wallet-কে বিশ্বব্যাপী এক নম্বরে এবং MetaMask-কে দুই নম্বরে স্থান দিয়েছে। উভয় ওয়ালেট ডিভাইস প্যাচ স্ট্যাটাস যাচাই না হওয়া পর্যন্ত Android-এ Import via Seed বৈশিষ্ট্য সাময়িকভাবে নিষ্ক্রিয় করেছে। একই তালিকায় চার নম্বরে থাকা Phantom একইভাবে প্রভাবিত। বিশ্বের সবচেয়ে জনপ্রিয় তিনটি নন-কাস্টোডিয়াল মোবাইল ওয়ালেট যে প্ল্যাটফর্মে তাদের সংখ্যাগরিষ্ঠ ব্যবহারকারীরা অ্যাক্সেস করে সেখানে সীড ইমপোর্ট কার্যকারিতা স্থগিত করেছে।

অবিলম্বে কী করতে হবে

যেকোনো সফটওয়্যার ওয়ালেটে ক্রিপ্টো রাখা Android ব্যবহারকারীদের অবিলম্বে মার্চ ২০২৬ সিকিউরিটি আপডেট চেক করা উচিত। Settings-এ যান, তারপর Security বা System-এ, তারপর Software Update-এ যান এবং যাচাই করুন যে বিল্ড সংস্করণ .০৩২৬ দিয়ে শেষ হয়। যদি আপডেটটি এখনও ডিভাইস প্রস্তুতকারকের কাছ থেকে উপলব্ধ না হয়, তবে যতক্ষণ না হয় ততক্ষণ সীড প্রবেশের উদ্দেশ্যে ডিভাইসটিকে আপসকৃত হিসেবে বিবেচনা করুন।

Ledger-এর সুপারিশগুলি প্যাচিংয়ের বাইরে বিস্তৃত। যেকোনো সফটওয়্যার ওয়ালেটে যেকোনো মোবাইল কীবোর্ডে রিকভারি সীড প্রবেশ করা সহজাত ঝুঁকি বহন করে যা Memory-Mirror থেকে স্বাধীনভাবে বিদ্যমান। কীবোর্ড নিজেই, ক্লিপবোর্ড ম্যানেজার এবং স্ক্রিন রেকর্ডিং অ্যাপ্লিকেশনগুলি সকলেই সম্ভাব্য নিষ্কাশন ভেক্টর প্রতিনিধিত্ব করে যা হার্ডওয়্যার ওয়ালেট ডিজাইন দ্বারা নির্মূল করে। Ledger Nano এবং Stax ডিভাইসগুলি Memory-Mirror দ্বারা প্রভাবিত নয় কারণ সীড ফ্রেজ কখনও ডিভাইসের Secure Element চিপ ছেড়ে যায় না এবং কোনও সময়ে Android অপারেটিং সিস্টেমের কাছে প্রকাশ করা হয় না।

গতকাল এই প্রকাশনায় আচ্ছাদিত Trust Wallet অ্যাড্রেস পয়জনিং সুরক্ষা বৈশিষ্ট্য লেনদেন স্তরে একটি আক্রমণ ভেক্টরের বিরুদ্ধে ব্যবহারকারীদের রক্ষা করেছে। Memory-Mirror মৌলিকভাবে গভীর স্তরে কাজ করে, একটি একক লেনদেনের পরিবর্তে সীডকেই লক্ষ্য করে। একটি আপসকৃত সীড প্রতিটি ওয়ালেট, প্রতিটি চেইন এবং এর থেকে উদ্ভূত প্রতিটি সম্পদ স্থায়ীভাবে আপসকৃত করে।

ডিভাইস আপডেট করুন। প্যাচ ইনস্টল হওয়া নিশ্চিত না হওয়া পর্যন্ত মোবাইলে সীড ফ্রেজ প্রবেশ করবেন না।

পোস্ট Critical Android Vulnerability Can Steal Your Crypto Seed Phrase in 3 Seconds প্রথমে ETHNews-এ প্রকাশিত হয়েছে।