શોધખોળ કરો

શું USB સ્પીકર્સ સુરક્ષિત છે? એક પણ ક્લિક વગર PC માં ઘૂસી શકે છે વાયરસ! રિચર્સમાં થયો ખુલાસો

USB: મીડિયા રિપોર્ટ્સ અનુસાર સાયબર સુરક્ષા સંશોધક રાસમસ મુરાટ્સે પોતાના માટે Katana V2X સાઉન્ડબાર ખરીદ્યા પછી આ નબળાઈ શોધી કાઢી.

Show Quick Read
Key points generated by AI, verified by newsroom
  • સંશોધકે Creative સ્પીકરમાં બ્લૂટૂથ સુરક્ષા ખામી શોધી કાઢી.
  • અનધિકૃત બ્લૂટૂથ કનેક્શન ફર્મવેર બદલી કીબોર્ડ બન્યું.
  • બ્લૂટૂથથી કમાન્ડ મોકલી કમ્પ્યુટર પર નિયંત્રણ મેળવી શકાયું.
  • કંપનીએ ખામી ન સ્વીકારી; હુમલો ફક્ત નજીકની રેન્જમાં શક્ય.

USB:  કમ્પ્યુટર અને ઓપરેટિંગ સિસ્ટમ બનાવતી કંપનીઓ સામાન્ય રીતે એવા કેટલાય સુરક્ષા ઉપાયો લાગુ કરે છે જે કોઈ બાહ્ય ડિવાઇસને સિસ્ટમ પર અનધિકૃત નિયંત્રણ મેળવતા અટકાવે છે. સામાન્ય રીતે કોઈ હેકરને રિમોટ કોડ એક્ઝિક્યુશન (Remote Code Execution) જેવા હુમલાને અંજામ આપવા માટે સુરક્ષાના કેટલાય સ્તરો પાર કરવા પડે છે. પરંતુ એક નવા સંશોધને દર્શાવ્યું છે કે કેટલાક કિસ્સાઓમાં માત્ર બ્લૂટૂથ રેન્જમાં હોવું જ કોઈ કમ્પ્યુટરને જોખમમાં મૂકવા માટે પૂરતું હોઈ શકે છે.

 

સંશોધકે શોધી કાઢ્યું કે સિંગાપોરની કંપની Creative Technologies ના Sound Blaster Katana V2X સ્પીકરમાં એવી ખામીઓ રહેલી છે જેનો ફાયદો ઉઠાવીને કોઈ હુમલાખોર સ્પીકરને અડ્યા વિના પણ તેની સાથે જોડાયેલા કમ્પ્યુટર સુધી પહોંચ બનાવી શકે છે.

આ પણ વાંચો...હવે Chat લીક થવાનો ડર ખતમ? WhatsApp ટેક્સ્ટ મેસેજ માટે લાવી શકે છે 'View Once' ફીચર

એક સામાન્ય તપાસથી શરૂ થયેલી શોધ

મીડિયા અહેવાલો અનુસાર, સાયબર સુરક્ષા સંશોધક રાસ્મસ મૂરાત્સે આ નબળાઈ ત્યારે શોધી જ્યારે તેમણે પોતાના માટે Katana V2X સાઉન્ડબાર ખરીદ્યો. આ ડિવાઇસ USB અને Bluetooth બંને દ્વારા Windows, Mac અને Linux સિસ્ટમ સાથે કનેક્ટ થઈ શકે છે.

મૂરાત્સ આ સ્પીકર માટે Linux ટૂલ વિકસાવવાનો પ્રયાસ કરી રહ્યા હતા. આ દરમિયાન તેમને ખબર પડી કે સ્પીકર Creative Transport Protocol (CTP) નામની એક વિશેષ કોમ્યુનિકેશન સિસ્ટમનો ઉપયોગ કરે છે. આ જ પ્રોટોકોલ દ્વારા જોડાયેલા ડિવાઇસ સ્પીકરની LED લાઈટ, ઇક્વલાઇઝર સેટિંગ્સ અને અન્ય ફીચર્સને કંટ્રોલ કરી શકે છે.

પેરિંગ અને ઓથેન્ટિકેશન વિના જ થઈ ગયું કનેક્શન

તપાસ દરમિયાન સૌથી હેરાન કરનારી વાત એ સામે આવી કે એક Bluetooth ડિવાઇસ કોઈપણ ઓથેન્ટિકેશન અને પેરિંગ પ્રોસેસ વિના સીધું સ્પીકર સાથે જોડાઈ શકતું હતું, જ્યારે સ્પીકર USB ના માધ્યમથી પહેલાથી જ એક PC સાથે કનેક્ટેડ હતું.

એટલું જ નહીં, CTP માં ઉપલબ્ધ એક કમાન્ડની મદદથી સ્પીકરનું ફર્મવેર પણ બદલી શકાતું હતું. સામાન્ય રીતે ફર્મવેર અપડેટ દરમિયાન ડિજિટલ સિગ્નેચર કે કોડ સાઇનિંગ જેવી સુરક્ષા તકનીકોનો ઉપયોગ કરવામાં આવે છે જેથી માત્ર સત્તાવાર સોફ્ટવેર જ ઇન્સ્ટોલ થઈ શકે. પરંતુ અહીં એવી કોઈ સુરક્ષા ઉપલબ્ધ નહોતી.

સંશોધકે પરીક્ષણ તરીકે સ્પીકરમાં પોતાનું કસ્ટમ ફર્મવેર ઇન્સ્ટોલ કર્યું જેણે LED ડિસ્પ્લે પર માત્ર 'patched' શબ્દ દર્શાવ્યો. આ સફળ પ્રયોગ સાબિત કરતો હતો કે અનધિકૃત ફર્મવેરને સરળતાથી ડિવાઇસમાં અપલોડ કરી શકાય છે.

સ્પીકરને બનાવવામાં આવ્યું કીબોર્ડ

ત્યારબાદ સંશોધકે સ્પીકરમાં ઉપયોગમાં લેવાતી FreeRTOS ઓપરેટિંગ સિસ્ટમનો અભ્યાસ કર્યો. તપાસમાં જાણવા મળ્યું કે ડિવાઇસમાં Human Interface Device (HID) સંબંધિત ક્ષમતાઓ હાજર હતી. HID કેટેગરીમાં કીબોર્ડ, માઉસ અને વેબકેમ જેવા ઉપકરણો આવે છે.

મૂરાત્સે જોયું કે સ્પીકરના USB Descriptor માં સુધારો કરી શકાય છે. USB Descriptor એ એવી માહિતી છે જે કમ્પ્યુટરને જણાવે છે કે તેની સાથે જોડાયેલું ડિવાઇસ શું-શું કામ કરી શકે છે.

તેમણે આ માહિતીમાં ફેરફાર કરીને સ્પીકરને એક વધારાના કીબોર્ડ તરીકેની ઓળખ અપાવી દીધી. આ પછી સ્પીકર કમ્પ્યુટરને કીબોર્ડની જેમ કમાન્ડ મોકલવા માટે સક્ષમ બની ગયું.

હવામાંથી મોકલવામાં આવ્યા કમાન્ડ

આ શોધ પછી સંશોધકે વધુ એક પ્રયોગ કર્યો. તેમણે Bluetooth ના માધ્યમથી સ્પીકરને કમાન્ડ મોકલ્યા અને સ્પીકરે તે કમાન્ડ્સને HID ફીચર દ્વારા કમ્પ્યુટર સુધી પહોંચાડ્યા. પરીક્ષણ દરમિયાન તેમણે સફળતાપૂર્વક એવું ફર્મવેર અપલોડ કર્યું જે રીબૂટ થયા પછી કમ્પ્યુટર પર પોતાના આપ કમાન્ડ ટાઇપ અને એક્ઝિક્યુટ કરી દેતું હતું.

વાસ્તવિક હુમલાની સ્થિતિમાં કોઈ હુમલાખોર PowerShell અથવા અન્ય સિસ્ટમ ટૂલ ખોલીને ખતરનાક સ્ક્રિપ્ટ ચલાવી શકે છે જેનાથી સિસ્ટમ સંપૂર્ણપણે પ્રભાવિત થઈ શકે છે.

વધુ ચિંતાની વાત એ છે કે સ્પીકરનો Bluetooth મોડ સ્લીપ મોડમાં પણ એક્ટિવ રહે છે અને તેને સંપૂર્ણપણે બંધ કરવાનો કોઈ સ્પષ્ટ વિકલ્પ દેખાતો નથી.

સુરક્ષા હાજર છે પણ સરળતાથી પાર કરી શકાય તેવી છે

USB દ્વારા જોડાયેલા ડિવાઇસ અને સ્પીકર વચ્ચે સામાન્ય રીતે એક Challenge-Response ઓથેન્ટિકેશન પ્રોસેસ હોય છે. જો કે સંશોધકના મતે આ સુરક્ષા બહુ મજબૂત નથી કારણ કે જરૂરી માહિતી સ્પીકર સાથે આવતા સોફ્ટવેરમાંથી મેળવી શકાય છે.

બીજી તરફ, Bluetooth કનેક્શન માટે આવા કોઈ પડકાર કે વેરિફિકેશન પ્રોસેસની જરૂરિયાત જ જોવા મળી નથી, જે હુમલાને વધુ સરળ બનાવે છે.

કંપનીએ સુરક્ષા જોખમ ન સ્વીકાર્યું

રાસ્મસ મૂરાત્સે પોતાની શોધની માહિતી Creative Technologies ને આપી પરંતુ તેમને કોઈ જવાબ મળ્યો નહીં. બાદમાં CERT Singapore ની મદદ લેવામાં આવી, જે પછી કંપની તરફથી પ્રતિક્રિયા આવી.

અહેવાલ અનુસાર, કંપનીના એન્જિનિયરોએ આ વર્તનને સુરક્ષાની ખામી માનવાનો ઇનકાર કરી દીધો. સંશોધકે પોતાના પરીક્ષણો Windows સિસ્ટમ પર કર્યા હતા અને ત્યાં આ હુમલો સફળ રહ્યો હતો.

શું તમામ યુઝર્સે ચિંતા કરવી જોઈએ?

જો કે આ હુમલાની એક મોટી મર્યાદા છે. હુમલાખોરનું સ્પીકરની Bluetooth રેન્જની અંદર હોવું જરૂરી છે. આનો અર્થ એ છે કે કોઈ પાડોશી, સહકર્મી, રૂમમેટ કે આસપાસ હાજર વ્યક્તિ જ આ પ્રકારના હુમલાને અંજામ આપી શકે છે.

તેમ છતાં, આ મામલો એ વાત તરફ ઈશારો કરે છે કે સ્માર્ટ Bluetooth ડિવાઇસ માત્ર ઓડિયો કે સુવિધાના સાધનો નથી. જો તેમાં સુરક્ષા ખામીઓ હોય તો તેઓ કમ્પ્યુટર સુધી પહોંચવાનું માધ્યમ પણ બની શકે છે. એ સવાલ પણ ઊભો થાય છે કે શું અન્ય Bluetooth ડિવાઇસોમાં પણ આવી જ કોઈ નબળાઈઓ છુપાયેલી છે જેની હજુ સુધી ખબર પડી નથી.

Frequently Asked Questions

Creative Technologies ના Sound Blaster Katana V2X સ્પીકરમાં કઈ સુરક્ષા ખામી મળી આવી છે?

સંશોધકોએ શોધી કાઢ્યું કે આ સ્પીકરમાં એવી ખામીઓ છે જેનો ફાયદો ઉઠાવીને હુમલાખોર સ્પીકરને અડ્યા વિના પણ તેનાથી જોડાયેલા કમ્પ્યુટર સુધી પહોંચ બનાવી શકે છે.

હુમલાખોર આ ખામીનો ઉપયોગ કરીને કમ્પ્યુટરને કેવી રીતે નિયંત્રિત કરી શકે છે?

હુમલાખોર Bluetooth દ્વારા સ્પીકરનું ફર્મવેર બદલી શકે છે અને તેને કીબોર્ડ તરીકે કાર્યરત કરી શકે છે. આ રીતે, સ્પીકર કમ્પ્યુટર પર કમાન્ડ મોકલીને તેને નિયંત્રિત કરવા સક્ષમ બને છે.

આ હુમલાને સરળ બનાવતી મુખ્ય બાબતો કઈ છે?

Bluetooth કનેક્શન માટે કોઈ ઓથેન્ટિકેશન કે પેરિંગની જરૂર નથી. ઉપરાંત, ફર્મવેરને ડિજિટલ સિગ્નેચર વિના પણ બદલી શકાય છે, જે સુરક્ષાને નબળી પાડે છે.

આ હુમલાની મુખ્ય મર્યાદા શું છે?

હુમલાખોરનું સ્પીકરની Bluetooth રેન્જમાં હોવું જરૂરી છે. આનો અર્થ એ છે કે હુમલો કરવા માટે તે નજીકના ભૌગોલિક વિસ્તારમાં હોવો જોઈએ.

વધુ વાંચો
Sponsored Links by Taboola
Advertisement

ટોપ સ્ટોરી

iCloud+ કે Apple One: બન્નેમાં શું છે અંતર ? પૈસા ખર્ચતા પહેલા જાણી લો કયો પ્લાન છે બેસ્ટ
iCloud+ કે Apple One: બન્નેમાં શું છે અંતર ? પૈસા ખર્ચતા પહેલા જાણી લો કયો પ્લાન છે બેસ્ટ
iPhone 16 ના ભાવ ધડામ! આ સેલમાં મળી રહ્યો છે સૌથી સસ્તો મોબાઈલ, જોજો મોકો ચૂકી ન જતા
iPhone 16 ના ભાવ ધડામ! આ સેલમાં મળી રહ્યો છે સૌથી સસ્તો મોબાઈલ, જોજો મોકો ચૂકી ન જતા
iOS 27 Public Beta થઇ ગઇ રિલીઝ, તમારા આઇફોનમાં આ એકદમ આસાન રીતથી કરો ઇન્સ્ટૉલ
iOS 27 Public Beta થઇ ગઇ રિલીઝ, તમારા આઇફોનમાં આ એકદમ આસાન રીતથી કરો ઇન્સ્ટૉલ
આ મહિને લોન્ચ થવા જઈ રહ્યા છે 5 સ્માર્ટફોન, તેના ફીચર્સ જાણી તમે પણ ચોંકી જશો 
આ મહિને લોન્ચ થવા જઈ રહ્યા છે 5 સ્માર્ટફોન, તેના ફીચર્સ જાણી તમે પણ ચોંકી જશો 
Advertisement

વિડિઓઝ

Ahmedabad Rath Yatra : રથયાત્રામાં ગજરાજને પગમાં કેમ નંખાઈ બેડી?
Ahmedabad Rath Yatra : અમદાવાદના મેયરે કરી ભગવાનના રથની પૂજા
Gujarat Rain Breaking News: ગુજરાતમાં અષાઢી બીજે અમી છાંટણા, ક્યાં ક્યાં પડ્યો વરસાદ?
Ahmedabad Rathyatra : ભગવાન જગન્નાથની મંગળા આરતીના કરો દર્શન
Ahmedabad Rath Yatra : મુખ્યમંત્રી ભૂપેન્દ્ર પટેલે પહિંદવિધિ કરી રથયાત્રાનો કરાવ્યો પ્રારંભ
Advertisement
Advertisement

ફોટો ગેલેરી

પર્સનલ કોર્નર

ટોપ આર્ટિકલ્સ
ટોપ રીલ્સ
IRCTCએ લોન્ચ કર્યું નવું પોર્ટલ, સ્ટેપ બાય સ્ટેપ જાણો મુસાફરો કેવી રીતે બુક કરી શકશે ટિકિટ?
IRCTCએ લોન્ચ કર્યું નવું પોર્ટલ, સ્ટેપ બાય સ્ટેપ જાણો મુસાફરો કેવી રીતે બુક કરી શકશે ટિકિટ?
Jagannath Mandir: જગન્નાથ મંદિરના આ પગથિયાનું રહસ્ય જાણો છો? જાણો શું છે રહસ્યમય ગાથા
Jagannath Mandir: જગન્નાથ મંદિરના આ પગથિયાનું રહસ્ય જાણો છો? જાણો શું છે રહસ્યમય ગાથા
મમતા બેનર્જીને વધુ એક ઝટકો,TMC સાંસદ કોયલ મલિકે રાજ્યસભામાંથી આપ્યું રાજીનામું
મમતા બેનર્જીને વધુ એક ઝટકો,TMC સાંસદ કોયલ મલિકે રાજ્યસભામાંથી આપ્યું રાજીનામું
Gold-Silver Rate: સોનાની ઘટી ચમક, ફરી કિંમતમાં થયો ઘટાડો, જાણો ગોલ્ડ સિલ્વર લેટેસ્ટ પ્રાઇસ
Gold-Silver Rate: સોનાની ઘટી ચમક, ફરી કિંમતમાં થયો ઘટાડો, જાણો ગોલ્ડ સિલ્વર લેટેસ્ટ પ્રાઇસ
મેડિકલના વિદ્યાર્થીઓ માટે ખુશખબરી, ગુજરાતમાં MBBSની નવી 200 બેઠકો વધી, નેશનલ મેડિકલ કમિશને આપી મંજૂરી
મેડિકલના વિદ્યાર્થીઓ માટે ખુશખબરી, ગુજરાતમાં MBBSની નવી 200 બેઠકો વધી, નેશનલ મેડિકલ કમિશને આપી મંજૂરી
જો ખેડૂતોને સમયસર યુરિયા ન મળે તો તેઓ ફરિયાદ ક્યાં કરી શકે? અહીં જાણો.
જો ખેડૂતોને સમયસર યુરિયા ન મળે તો તેઓ ફરિયાદ ક્યાં કરી શકે? અહીં જાણો.
Govt Hike Tax: પેટ્રોલ-ડીઝલ અને ATF પર સરકારનો મોટો નિર્ણય, અચાનક વધારી દીધો આ ટેક્સ
Govt Hike Tax: પેટ્રોલ-ડીઝલ અને ATF પર સરકારનો મોટો નિર્ણય, અચાનક વધારી દીધો આ ટેક્સ
ટ્રાફિકમાં એમ્બ્યુલન્સ માટે ઢાલ બન્યો બાઇકર, રોન્ગ સાઇડ ગાડી ચલાવીને બચાવ્યો દર્દીનો જીવ, Video વાયરલ
ટ્રાફિકમાં એમ્બ્યુલન્સ માટે ઢાલ બન્યો બાઇકર, રોન્ગ સાઇડ ગાડી ચલાવીને બચાવ્યો દર્દીનો જીવ, Video વાયરલ
Embed widget