माइक्रोसॉफ्ट ऑफिस, टीम्स की कमजोरियों के कारण हैकर्स को मैकओएस पर कैमरा और माइक्रोफ़ोन तक पहुंच मिल गई: रिपोर्ट

एक साइबर सुरक्षा समूह ने द्वारा विकसित ऐप्स में कई कमजोरियों की खोज की है माइक्रोसॉफ्ट के लिए मैक ओएस जिससे हैकर्स को उपयोगकर्ताओं को लक्षित करने की अनुमति मिली। सुरक्षा दोष Microsoft Office, Outlook, Teams, OneNote और रेडमंड फ़र्म के अन्य ऐप्स जैसे ऐप्स को प्रभावित करते हैं, और हैकर्स डेस्कटॉप ऑपरेटिंग सिस्टम पर Apple के अनुमति ढांचे का दुरुपयोग करके उपयोगकर्ता के कैमरे और माइक्रोफ़ोन तक पहुँचने में सक्षम थे। जबकि Microsoft ने macOS पर अपने दो अनुप्रयोगों के लिए फ़िक्सेस जारी किए हैं, इसके अन्य ऐप अभी भी हमलावरों के लिए असुरक्षित हैं।

माइक्रोसॉफ्ट ऐप की कमजोरियों के कारण हैकर्स बिना अनुमति के कैमरा, माइक्रोफ़ोन तक पहुंच सकते हैं

साइबर सुरक्षा समूह सिस्को टैलोस ने मैकओएस के लिए माइक्रोसॉफ्ट के ऐप्स में देखी गई आठ कमजोरियों का विवरण दिया। ब्लॉग भेजाइन खामियों की वजह से हैकर्स को छह माइक्रोसॉफ्ट ऐप्स में विशेष रूप से तैयार की गई दुर्भावनापूर्ण लाइब्रेरीज़ डालने की अनुमति मिल गई – आउटलुक, टीमें, पावर प्वाइंट, एक्सेल, शब्द, वननोट — और macOS पर एप्पल के अनुमति मॉडल को बायपास कर सकते हैं।

हैकर्स macOS पर वैध ऐप्स में दुर्भावनापूर्ण लाइब्रेरी कैसे डाल सकते हैं
फोटो क्रेडिट: सिस्को टैलोस

उपयोगकर्ता के माइक्रोफ़ोन और कैमरे तक पहुँच प्राप्त करने के लिए, दुर्भावनापूर्ण सॉफ़्टवेयर को प्रासंगिक अनुमतियों के लिए उपयोगकर्ता की स्पष्ट सहमति की आवश्यकता होगी, जो कि निम्नलिखित नियमों के अनुसार है: एप्पल का मैकओएस पर पारदर्शिता, सहमति और नियंत्रण (TCC) फ्रेमवर्क। हालाँकि, कुछ दुर्भावनापूर्ण प्रोग्राम अन्य ऐप्स को दी गई अनुमतियों तक पहुँच प्राप्त करने के लिए लाइब्रेरी इंजेक्शन (या macOS पर dylib इंजेक्शन) नामक प्रक्रिया का उपयोग कर सकते हैं।

परिणामस्वरूप, सिस्को टैलोस के अनुसार, मैकओएस उपयोगकर्ता जिनके कंप्यूटर पर माइक्रोसॉफ्ट के ऐप इंस्टॉल थे, वे हैकिंग के प्रति संवेदनशील हो सकते हैं। इन खामियों के कारण हैकर्स को उपरोक्त ऐप्स में लाइब्रेरी इंजेक्ट करके ऑडियो रिकॉर्ड करने की अनुमति मिल गई। सूची में माइक्रोसॉफ्ट एक्सेल एकमात्र ऐसा ऐप है जिसकी माइक्रोफ़ोन तक पहुँच नहीं है, जबकि माइक्रोसॉफ्ट टीम्स जैसे ऐप भी डिवाइस के कैमरे तक पहुँच सकते हैं।

माइक्रोसॉफ्ट ने दो प्रभावित ऐप्स को पैच किया, अन्य ऐप्स अभी भी असुरक्षित

साइबर सुरक्षा समूह का कहना है कि उसने सुरक्षा कमज़ोरियों की सूचना Microsoft को दी है, और तब से फ़र्म ने दो प्रभावित ऐप्स को खामियों के लिए फ़िक्स के साथ अपडेट कर दिया है। Microsoft Teams और OneNote के नवीनतम संस्करण चलाने वाले उपयोगकर्ताओं पर इसका कोई असर नहीं होना चाहिए, लेकिन कंपनी के Outlook और Office ऐप्स वर्तमान में सुरक्षा दोष से प्रभावित हैं।

सिस्को टैलोस के अनुसार, माइक्रोसॉफ्ट को लाइब्रेरी सत्यापन को अक्षम नहीं करना चाहिए था, क्योंकि यह उपयोगकर्ताओं को अनावश्यक जोखिमों के प्रति उजागर करता है, क्योंकि यह एप्पल द्वारा ओएस पर लगाए गए कठोर रनटाइम सुरक्षा उपायों को दरकिनार कर देता है, जिसे टीसीसी और इसके अनुमति मॉडल के माध्यम से उपयोगकर्ताओं की सुरक्षा के लिए डिज़ाइन किया गया है।

Apple, macOS पर सुरक्षा बढ़ा सकता है, जब ऐप में थर्ड-पार्टी प्लगइन लोड किया जा रहा हो, तो उपयोगकर्ताओं को संकेत देकर, क्योंकि इन ऐप्स को पहले से ही अनुमतियाँ दी जा सकती हैं। यह उपयोगकर्ताओं को चेतावनी दे सकता है कि ये बाहरी प्लगइन मूल ऐप को दी गई समान अनुमतियों तक पहुँच सकते हैं।