ইএসপি ৩২ মাইক্রোচিপে গোপন কমান্ডের সন্ধান মিলেছে

ইএসপি ৩২ মাইক্রোচিপে গোপন কমান্ডের সন্ধান মিলেছে

by

সম্প্রতি গবেষকরা ইএসপি ৩২ (ESP32) মাইক্রোচিপের মধ্যে এমন কিছু গোপন কমান্ডের সন্ধান পেয়েছেন, যা আগে কারও জানা ছিল না। ইএসপি ৩২ হলো একটি জনপ্রিয় মাইক্রোচিপ, যা ওয়াই-ফাই এবং ব্লুটুথ সংযোগের জন্য ব্যবহৃত হয়। এটি মোবাইল ফোন, কম্পিউটার, স্মার্ট লক, মেডিকেল ডিভাইসসহ অসংখ্য স্মার্ট ডিভাইসে ব্যবহৃত হয়। ২০২৩ সালের হিসাব অনুযায়ী, বিশ্বজুড়ে এই চিপের ব্যবহার এক বিলিয়নেরও বেশি। গবেষকরা জানিয়েছেন, এই চিপের মধ্যে এমন কিছু ভেন্ডর-স্পেসিফিক কমান্ড রয়েছে, যা ব্লুটুথ কার্যক্রম নিয়ন্ত্রণের জন্য ব্যবহৃত হতে পারে।

এই গবেষণা করেছেন স্পেনের দুই গবেষক মিগুয়েল তারাস্কো আকুনা এবং আন্তোনিও ভাসকেজ ব্লাঙ্কো, যারা টারলজিক সিকিউরিটির সাথে যুক্ত। তারা রুটেড সিওএন নামক সাইবার সিকিউরিটি কনফারেন্সে এই তথ্য প্রকাশ করেছেন। তাদের গবেষণায় দেখা গেছে, ইএসপি ৩২-এর ব্লুটুথ ফার্মওয়্যারের মধ্যে ২৯টি গোপন কমান্ড আছে, যার মধ্যে অপকোড 0x3F অন্যতম। এসব কমান্ডের মাধ্যমে মেমোরি পড়া ও পরিবর্তন করা সম্ভব, যা ডিভাইসের কার্যকারিতার ওপর সরাসরি প্রভাব ফেলতে পারে।

গবেষকরা প্রথমদিকে এ ঘটনাকে “ব্যাকডোর” বলে উল্লেখ করলেও পরবর্তীতে তারা বলেন যে, এসব কমান্ড মূলত গোপন ফিচার হিসেবে বিবেচনা করা যেতে পারে। তবে, এগুলো ঠিকভাবে ব্যবহার করা না হলে, হ্যাকাররা সহজেই এই সুযোগ কাজে লাগিয়ে বড় ধরনের নিরাপত্তা হুমকি তৈরি করতে পারে। এই কারণে, গবেষকরা মনে করেন, এসব গোপন কমান্ড সরবরাহ চেইন (Supply Chain) আক্রমণ বা ডিভাইসে ব্যাকডোর লুকিয়ে রাখার ক্ষেত্রে ব্যবহার করা যেতে পারে।

এসব অপ্রকাশিত কমান্ডের উপস্থিতি নিয়ে বিশেষজ্ঞরা উদ্বিগ্ন, কারণ এটি নিরাপত্তার জন্য বড় হুমকি সৃষ্টি করতে পারে। যদিও এসপ্রেসিফ (ইএসপি ৩২-এর প্রস্তুতকারক প্রতিষ্ঠান) এসব কমান্ড সম্পর্কে প্রকাশ্যে কিছু জানায়নি, তবে ধারণা করা হচ্ছে, এটি ইচ্ছাকৃতভাবে যোগ করা হয়নি, বরং নির্মাণ প্রক্রিয়ার একটি অনিচ্ছাকৃত ভুল হতে পারে।

এই কমান্ডগুলোর সাহায্যে কী কী করা সম্ভব?

গবেষকদের মতে, ইএসপি ৩২-তে থাকা এসব কমান্ড ব্যবহার করে নিম্নলিখিত কাজগুলো করা সম্ভব:

  • মেমোরি পরিবর্তন: র‌্যাম ও ফ্ল্যাশ মেমোরিতে পড়া ও লেখা যায়।
  • ডিভাইস স্পুফিং: ম্যাক ঠিকানা পরিবর্তন করে অন্য ডিভাইসের মতো আচরণ করা সম্ভব।
  • প্যাকেট ইনজেকশন: বিশেষ ধরনের প্যাকেট প্রেরণের মাধ্যমে ব্লুটুথ প্রোটোকলের নিয়ন্ত্রণ নেওয়া সম্ভব।
  • সিকিউরিটি বাইপাস: নিরাপত্তা ব্যবস্থা পাশ কাটিয়ে ডিভাইসে স্থায়ী পরিবর্তন আনা সম্ভব।

তবে, গবেষকরা এটাও জানিয়েছেন যে, এসব কমান্ড সরাসরি দূরবর্তীভাবে চালানো সম্ভব নয়। এগুলো ব্যবহারের জন্য সাধারণত শারীরিকভাবে ডিভাইসের সংযোগ দরকার হয় অথবা আগেই কোনো ম্যালওয়্যার বা পরিবর্তিত ফার্মওয়্যার ইনস্টল করা থাকতে হয়। তাই, দূরবর্তী আক্রমণের জন্য অন্য দুর্বলতাগুলোও কাজে লাগাতে হবে। সবচেয়ে বাস্তবসম্মত আক্রমণের উপায় হলো ডিভাইসের ইউএসবি বা ইউআরটি ইন্টারফেসের মাধ্যমে এক্সেস নেওয়া।

এই সমস্যার গভীর বিশ্লেষণ ও পরীক্ষা-নিরীক্ষার জন্য গবেষকরা একটি নতুন ইউএসবি ব্লুটুথ ড্রাইভার তৈরি করেছেন, যার নাম ব্লুটুথ ইউএসবি। এটি সি ভাষায় লেখা একটি সফটওয়্যার, যা হার্ডওয়্যার স্বাধীনভাবে ব্লুটুথ ট্রাফিক পর্যবেক্ষণ করতে পারে। এই টুলটি নিরাপত্তা গবেষকদের জন্য অত্যন্ত গুরুত্বপূর্ণ, কারণ এটি অপারেটিং সিস্টেম-নির্ভরতা ছাড়াই ব্লুটুথ নিরাপত্তা যাচাই করার সুযোগ দেয়। বর্তমানে প্রচলিত নিরাপত্তা পরীক্ষা করার সরঞ্জামগুলো নির্দিষ্ট হার্ডওয়্যার বা অপারেটিং সিস্টেমের ওপর নির্ভরশীল, যা অনেক সময় পরীক্ষার ক্ষেত্রে সীমাবদ্ধতা তৈরি করে। কিন্তু, ব্লুটুথ ইউএসবি এই সমস্যার সমাধান করতে পারে।

ইএসপি ৩২-এর সবচেয়ে বড় সুবিধা হলো এর কম খরচ এবং সহজলভ্যতা। মাত্র ২ ডলারের মতো দামে পাওয়া এই চিপ বিশ্বজুড়ে অসংখ্য স্মার্ট ডিভাইসে ব্যবহৃত হচ্ছে। তবে, এর জনপ্রিয়তার কারণে এটি হ্যাকিং ও সাইবার আক্রমণের লক্ষ্যবস্তু হয়ে উঠছে।

বিশেষজ্ঞরা বলছেন, যদিও এই গোপন কমান্ডগুলো মূলত ডিবাগিংয়ের জন্য যুক্ত করা হয়েছিল, তবে নিরাপত্তার দৃষ্টিকোণ থেকে এটি একটি বড় দুর্বলতা তৈরি করেছে। যদি কোনো আক্রমণকারী এই কমান্ডগুলোর অপব্যবহার করতে পারে, তাহলে তারা ডিভাইসের নিয়ন্ত্রণ নিয়ে নিতে পারে, গোপন তথ্য চুরি করতে পারে বা সরবরাহ চেইনে ম্যালওয়্যার ছড়াতে পারে।

কীভাবে এই সমস্যাটা থেকে নিরাপত্তা নিশ্চিত করা যায়?

ইএসপি ৩২-তে থাকা এই নিরাপত্তা ঝুঁকি কমানোর জন্য কিছু পদক্ষেপ গ্রহণ করা যেতে পারে:

  • ফার্মওয়্যার আপডেট: প্রস্তুতকারকদের উচিত ফার্মওয়্যারে নিরাপত্তা আপডেট প্রদান করা, যাতে এসব কমান্ড ব্যবহার সীমিত করা যায়।
  • শারীরিক নিরাপত্তা নিশ্চিত করা: ডিভাইসের ইউএসবি বা ইউআরটি ইন্টারফেস অ্যাক্সেস সীমিত করা, যাতে কেউ শারীরিকভাবে ডিভাইসে প্রবেশ করতে না পারে।
  • সিকিউরিটি টেস্টিং করা: ডিভাইস উন্মুক্ত হওয়ার আগেই নিরাপত্তা যাচাই করা এবং গোপন কমান্ডের অপব্যবহার প্রতিরোধ করা।
  • এনক্রিপশন ও অথেনটিকেশন বাড়ানো: ডিভাইসে শক্তিশালী এনক্রিপশন ও অথেনটিকেশন ব্যবস্থার মাধ্যমে নিরাপত্তা জোরদার করা।

নিরাপত্তা বিশেষজ্ঞরা মনে করেন, IoT ডিভাইসের নিরাপত্তা নিশ্চিত করার জন্য নির্মাতাদের আরও সচেতন হতে হবে এবং অপ্রয়োজনীয় বা গোপন কমান্ড বাদ দিতে হবে। ইএসপি ৩২ চিপের এই আবিষ্কার আমাদের জন্য একটি শিক্ষা, যে প্রযুক্তির অগ্রগতির সাথে সাথে নিরাপত্তার দিকেও সমান গুরুত্ব দিতে হবে।

টেকনোলজি ও পরিবেশ রক্ষায় সুপারমাইক্রো প্রতিষ্ঠানের সাহসী পদক্ষেপ

WhatsApp Group Join Now
Telegram Group Join Now
instagram Group Join Now

সাম্প্রতিক খবর

.আরো
গুগল জেমিনি ২.৫ এখন উন্নত যুক্তি ও বিশ্লেষণ করতে সক্ষম

এআই

গুগল জেমিনি ২.৫ এখন উন্নত যুক্তি ও বিশ্লেষণ করতে সক্ষম

চ্যাটজিপিটিতে ছবি এডিটিং এর নতুন ফিচার নিয়ে এসেছে ওপেনএআই

এআই

চ্যাটজিপিটিতে ছবি এডিটিং এর নতুন ফিচার নিয়ে এসেছে ওপেনএআই

চিপ নির্মাণে চীনের নতুন লেজার প্রযুক্তি উদ্ভাবন

উদ্ভাবন

চিপ নির্মাণে চীনের নতুন লেজার প্রযুক্তি

গুগল জেমিনি এআই এর জন্য চমৎকার একটি ফিচার চালু করেছে

এআই

গুগল জেমিনি এআই এর জন্য চমৎকার একটি ফিচার চালু করেছে

চীন ছোট একটি রোবটকে সমুদ্রের গভীরতম ট্রেঞ্চে পাঠাতে সক্ষম হয়েছে

রোবটিক্স

চীন ছোট একটি রোবটকে সমুদ্রের গভীরতম ট্রেঞ্চে পাঠাতে সক্ষম হয়েছে