Apple Patches AirPods Bluetooth Vulnerability That Could Allow Eavesdropping – OfficialSarkar

26 जून, 2024न्यूज़रूमफ़र्मवेयर सुरक्षा / भेद्यता

एप्पल ने एक नया ऐप जारी किया है। फर्मवेयर अपडेट एयरपॉड्स के लिए यह एक ऐसा सुरक्षा उपाय है जो किसी दुर्भावनापूर्ण व्यक्ति को अनधिकृत तरीके से हेडफोन तक पहुंच प्रदान कर सकता है।

CVE-2024-27867 के रूप में ट्रैक की गई, प्रमाणीकरण समस्या AirPods (दूसरी पीढ़ी और बाद के), AirPods Pro (सभी मॉडल), AirPods Max, Powerbeats Pro और Beats Fit Pro को प्रभावित करती है।

“जब आपके हेडफोन आपके पहले से युग्मित डिवाइस में से किसी एक से कनेक्शन का अनुरोध कर रहे हों, तो ब्लूटूथ रेंज में मौजूद कोई हमलावर इच्छित स्रोत डिवाइस को धोखा देकर आपके हेडफोन तक पहुंच प्राप्त कर सकता है,” एप्पल ने कहा। कहा मंगलवार को जारी परामर्श में यह बात कही गई।

दूसरे शब्दों में, भौतिक निकटता में मौजूद कोई विरोधी निजी बातचीत को सुनने के लिए इस कमजोरी का फ़ायदा उठा सकता है। एप्पल ने कहा कि इस समस्या को बेहतर स्टेट मैनेजमेंट के साथ सुलझा लिया गया है।

जोनास ड्रेस्लर को इस खामी की खोज करने और इसकी रिपोर्ट करने का श्रेय दिया गया है। इसे AirPods फ़र्मवेयर अपडेट 6A326, AirPods फ़र्मवेयर अपडेट 6F8 और Beats फ़र्मवेयर अपडेट 6F8 के हिस्से के रूप में पैच किया गया है।

यह घटनाक्रम आईफोन निर्माता द्वारा दो सप्ताह पहले जारी किए गए बयान के बाद सामने आया है। अद्यतन जारी विज़नओएस (संस्करण 1.2) में 21 कमियों को दूर किया जाना है, जिनमें वेबकिट ब्राउज़र इंजन की सात खामियां भी शामिल हैं।

इनमें से एक समस्या लॉजिक दोष (CVE-2024-27812) से संबंधित है, जिसके परिणामस्वरूप वेब सामग्री को संसाधित करते समय सेवा से वंचित (DoS) हो सकता है। इसने कहा कि इस समस्या को बेहतर फ़ाइल हैंडलिंग के साथ ठीक कर दिया गया है।

सुरक्षा शोधकर्ता रयान पिकरेन, जिन्होंने इस कमजोरी की सूचना दी थी, ने इसे “विश्व का पहला स्थानिक कंप्यूटिंग हैक” बताया, जिसका उपयोग “सभी चेतावनियों को दरकिनार करने और उपयोगकर्ता के संपर्क के बिना, आपके कमरे को मनमाने ढंग से संख्या में एनिमेटेड 3D ऑब्जेक्ट्स से भरने” के लिए किया जा सकता है।

यह भेद्यता, Apple द्वारा Microsoft Windows 7 का उपयोग करते समय अनुमति मॉडल को लागू करने में विफलता का लाभ उठाती है। ARKit त्वरित अवलोकन सुविधा पीड़ित के कमरे में 3D ऑब्जेक्ट्स को स्पॉन करने के लिए। मामले को बदतर बनाते हुए, ये एनिमेटेड ऑब्जेक्ट्स सफारी से बाहर निकलने के बाद भी बने रहते हैं क्योंकि उन्हें एक अलग एप्लिकेशन द्वारा नियंत्रित किया जाता है।

“इसके अलावा, इस एंकर टैग को मानव द्वारा ‘क्लिक’ किया जाना भी आवश्यक नहीं है,” पिकरेन ने कहा। कहा“इसलिए प्रोग्रामेटिक जावास्क्रिप्ट क्लिकिंग (यानी, document.querySelector(‘a’).click()) बिना किसी समस्या के काम करती है! इसका मतलब है कि हम बिना किसी उपयोगकर्ता सहभागिता के 3D, एनिमेटेड, ध्वनि-निर्माण, ऑब्जेक्ट्स की एक मनमानी संख्या लॉन्च कर सकते हैं।”