চীনের প্রযুক্তিপণ্য নির্মাতা প্রতিষ্ঠান শাওমির স্মার্টফোনে ভয়ংকর নিরাপত্তা ত্রুটি খুঁজে পেয়েছেন গবেষকরা। সম্প্রতি প্রকাশিত এক সুরক্ষা রিপোর্টে বলা হয়েছে, শাওমি ফোনের চিপের মধ্যে রয়েছে বড়সড় গরমিল। ফলে শাওমি ফোন ব্যবহারকারীরা সর্বশান্ত হতে পারেন। কেননা, এখন অনেকেই মোবাইল ফিন্যান্সিয়াল সার্ভিসের মাধ্যমে আর্থিক লেনদেন করেন। ফোনের চিপে ত্রুটি থাকায় শাওমি ফোন ব্যবহারকারীদের মোবাইল ব্যাংকিং অ্যাকাউন্ট থেকে টাকা চুরি হতে পারে।
চেক পয়েন্ট রিসার্চের (সিপিআর) গবেষকরা শাওমি ফোনের সুরক্ষায় এই গাফিলতি খুঁজে পেয়েছেন।
সিপিআর-এর গবেষণায় দেখা গেছে, শাওমির যেসব ফোনে মিডিয়াটেক চিপসেট ব্যবহার হয়েছে সেই সব ফোনেই এই সমস্যা দেখা গিয়েছে। চীনে বিপুল জনপ্রিয় এই চিপসেট। এই চিপসেটসহ ফোন থেকে পেমেন্ট করলে অ্যাকাউন্ট ফাঁকা হয়ে যাওয়ার আশংকা থাকছে বলে অনলাইন সুরক্ষা সংস্থা জানিয়েছে।
রিপোর্টে জানানো হয়েছে ট্রাস্টেড এক্সিকিউশন এনভারমেন্টের (টিইই) মাধ্যমে মোবাইল পেমেন্ট সিগনেচার পাঠানো হয়। যা মোবাইল ডিভাইসের একটি অবিচ্ছেদ্য অংশ এবং এর মূল উদ্দেশ্য হল ক্রিপ্টোগ্রাফিক কি এবং ফিঙ্গারপ্রিন্টের মতো সংবেদনশীল নিরাপত্তা তথ্য প্রক্রিয়াকরণ ও সংরক্ষণ করা। তাই মনে করা হয় টিইই একটি সুরক্ষিত উপায় ও আপনার পেমেন্টও সুরক্ষিত রয়েছে। শাওমি রেডমি নোট ৯টি ৫জি মডেলের ফোনের মাধ্যমে এই পরীক্ষা চালিয়েছিলেন সুরক্ষা গবেষকরা।
রিপোর্টে আরও জানানো হয়েছে, হ্যাকাররা চাইলে পেমেন্ট অ্যাপের একটি পুরনো ভার্সন ফোনে পাঠিয়ে দিতে পারে। যা নতুন ফাইলকে ওভাররাইট করবে। এইভাবে শাওমি ও মিডিয়াটেকের তৈরি সুরক্ষা ব্যবস্থা অনায়াসে ডিঙিয়ে যাওয়া সম্ভব। যা সুরক্ষিত আপকে ডাউনগ্রেড করে দেবে।
সিপিআর আরও জানিয়েছে শাওমি ফোনে টেনসেন্ট শটার (Tencent Soter) নামে একটি এপিআই রয়েছে, যা থার্ড পার্টি অ্যানড্রয়েড অ্যাপলিকেশনকে পেমেন্ট ইন্টিগ্রেট করতে সাহায্য করে। যার প্রধান কাজ মোবাইল অ্যাপ্লিকেশন থেকে ব্যাক এন্ড সার্ভারে পাঠানো পেমেন্ট প্যাকেজ ভেরিফাই করা। মোবাইলের মাধ্যমে আর্থিক লেনদেনের সময় এই সুরক্ষা ব্যবস্থার উপরেই ভরসা করা হয়।
সিপিআর-এর বিবৃতিতে বলা হয়েছে, ‘আমরা যে দুর্বলতা খুঁজে পেয়েছি, যা Xiaomi CVE-2020-14125 বরাদ্দ করেছে, তা সম্পূর্ণরূপে টেনসেন্ট শটার প্ল্যাটফর্মের সঙ্গে আপস করে। যা একজন অননুমোদিত ব্যবহারকারীকে জাল পেমেন্ট প্যাকেজগুলোতে সিগনেচার করার অনুমতি দেয়।’
রিপোর্টে জানানো হয়েছে এই গাফিলতির কথা ইতিমধ্যেই স্বীকার করে নিয়েছে শাওমি। সুরক্ষিত থাকতে সব স্মার্টফোনের সফটওয়্যার সব আপডেটের পরামর্শ দিয়েছে সিপিআর।
শাওমি ফোনের নিরাপত্তা ত্রুটি সংক্রান্ত আরও খবর জানুন নিচের লিংকগুলোতে-
তথ্যসূত্র:
১. Xiaomi ফোনের চিপের ভিতর ‘ভয়ঙ্কর’ গরমিল, কোম্পানির ভুলে মুহূর্তে ফাঁকা হবে আপনার অ্যাকাউন্ট!
২. Check Point Found Vulnerabilities In Xiaomi Phones’ Payment Mechanism
৩. Check Point Research finds vulnerabilities in Xiaomi’s mobile payment mechanism
৪. Some Xiaomi phones have serious security flaws
৫. Xiaomi phones with MediaTek chips have BIG security flaw, You could lose your bank savings!
৬. Xiaomi Fixes Bugs In Its Mobile Payment Mechanism
পি এস / এন আই
