টেলিগ্রামের নিরাপত্তা ত্রুটি ব্যবহার করে ভাইরাস ও ম্যালওয়্যার ছড়িয়ে দিচ্ছে হ্যাকাররা। ত্রুটিকে ‘ইভিল ভিডিও’ হিসেবে নামকরণ করা হয়েছে। ভাইরাস ও ম্যালওয়্যারগুলো ৩০ সেকেন্ডের ভিডিও ফাইলের ছদ্মবেশে ছড়িয়ে দেওয়া হয়।
ত্রুটিটি প্রথম শনাক্ত করে ‘ইসেট’ নামের একটি সাইবার নিরাপত্তা বিষয়ক সংস্থা। গত মাসে ডার্ক ওয়েবে ত্রুটিটি সম্পর্কে একটি পোস্ট দেখতে পারে সংস্থাটি। এই ম্যালওয়্যার বিক্রির জন্য একটি পোস্টও প্রকাশ করা হয়ে সেখানে।
গত ২৬ জুন টেলিগ্রামকে ত্রুটিটি সম্পর্কে অবহিত করে ইসেট।
এই ধরনের ত্রুটিকে ‘জিরো–ডে’ হিসেবে বলা হয়। এই ধরনের ত্রুটি সম্পর্কে ডেভেলপাররা আগে থেকে জানে না। আর একদিনের মধ্যেই ত্রুটিটি সংশোধন করতে হয় ডেভেলপারদের। কিন্তু ‘জিরো ডে’ ত্রুটি শনাক্ত হওয়ার পর চাইলেও দ্রুত নিরাপত্তা প্যাচ উন্মুক্ত করা সম্ভব হয় না। ফলে হ্যাকাররা ত্রুটিটি ব্যবহার করে সাইবার হামলা চালাতে পারে।
ইসেটের গবেষক লুকাস স্টেফ্যানকো বলেন, ‘একটি গোপন ফোরামে ত্রুটিটি নিয়ে বিজ্ঞাপন দেখতে যায় আমরা। এক পোস্টে টেলিগ্রামের ত্রুটিটি নিয়ে কিছু স্ক্রিনশট ও ভিডিও প্রকাশ করে বিক্রেতা। ভিডিওতে দেখা যায়, এই ম্যালওয়্যার একটি পাবলিক টেলিগ্রাম চ্যানেলে পরীক্ষা–নিরীক্ষা করা হয়। চ্যানেলটি চিহ্নিত করে ও ত্রুটিটিও পরীক্ষা করার সুযোগ পায় কোম্পানিটি।
একটি ভিডিও ফাইল হিসেবে ভাইরাসটি লুকিয়ে থাকে। ব্যবহারকারীরা ভিডিও চালু করা হলে স্ক্রিনে দেখানো হয়, অ্যাপটি ভিডিও চালাতে অক্ষম। তবে সঙ্গে সঙ্গে লুকানো ভাইরাসটি আক্রমণ করবে ও থার্ড পার্টি প্ল্যাটফর্ম থেকে অ্যাপ ইনস্টল করার ফোনের অনুমতি চালু দেবে।
টেলিগ্রামে পাঠানো ভিডিওগুলো ফোনে স্বয়ংক্রিয়ভাবে ডাউনলোড হয়। তাই বিপুলসংখ্যক ব্যবহারকারীদের কাছে ভাইরাসটি সহজেই ছড়িয়ে যেতে পারে বলে ধারণা করছে সংস্থাটি।
নিজের অ্যাকাউন্টের সুরক্ষায় যা করবেন
গত মাসে টেলিগ্রামকে ত্রুটি সম্পর্কে জানানো হলেও এটি সংশোধনে ১১ জুলাই নতুন আপডেট নিয়ে আসে কোম্পানিটি। নিজের অ্যাকাউন্টের সুরক্ষার জন্য নতুন আপডেটটি ডাউনলোড করার পরামর্শ দিয়েছে কোম্পানিটি। তাই টেলিগ্রামের ১০.১৪. ৫ সংস্করণটি ডাউনলোড করতে হবে ব্যবহারকারীদের।