समझाया: इजरायल का स्पाईवेयर पेगासस क्या है, जिसने व्हाट्सएप के जरिए निगरानी की?

व्हाट्सएप ने कहा है कि इजरायल द्वारा निर्मित मैलवेयर क्या है, जिसका इस्तेमाल भारत सहित इस गर्मी में दुनिया भर के पत्रकारों और कार्यकर्ताओं की जासूसी करने के लिए किया गया था? क्या आप व्यक्तिगत रूप से जोखिम में हैं, और क्या आपको WhatsApp का उपयोग बंद कर देना चाहिए?

व्हाट्सएप, व्हाट्सएप जासूसी, स्पाईवेयर पेगासस, स्पाईवेयर पेगासस क्या है, पेगासस क्या है, पेगासस इंडिया, व्हाट्सएप स्पाइवेयर, पेगासस इज़राइल, इंडियन एक्सप्रेस समझाया

व्हाट्सएप, जो फेसबुक के स्वामित्व में है, दुनिया का सबसे लोकप्रिय मैसेजिंग ऐप है, जिसके दुनिया भर में 1.5 बिलियन से अधिक उपयोगकर्ता हैं। उन उपयोगकर्ताओं में से लगभग एक चौथाई – 400 मिलियन से अधिक, या 40 करोड़ – भारत में हैं, जो व्हाट्सएप का सबसे बड़ा बाजार है।

गुरुवार को, इंडियन एक्सप्रेस ने बताया लोकप्रिय मैसेजिंग प्लेटफॉर्म व्हाट्सएप का इस्तेमाल इस साल की शुरुआत में भारत में पत्रकारों और मानवाधिकार कार्यकर्ताओं की जासूसी करने के लिए किया गया था। निगरानी एक स्पाइवेयर उपकरण का उपयोग करके की गई जिसे कहा जाता है कवि की उमंग , जिसे एक इजरायली फर्म, NSO Group द्वारा विकसित किया गया है।

WhatsApp एनएसओ ग्रुप पर मुकदमा मंगलवार को सैन फ्रांसिस्को में एक संघीय अदालत में, संयुक्त राज्य अमेरिका और अन्य जगहों पर व्हाट्सएप सर्वर का उपयोग करने का आरोप लगाते हुए, विशिष्ट व्हाट्सएप उपयोगकर्ताओं की निगरानी के उद्देश्य से लगभग 1,400 मोबाइल फोन और उपकरणों ('टारगेट डिवाइस') पर मैलवेयर भेजने के लिए ... 'लक्षित उपयोगकर्ता')।

निगरानी अप्रैल 2019 और मई 2019 के बीच और उसके आसपास की गई थी 20 देशों में उपयोगकर्ता चार महाद्वीपों में, व्हाट्सएप ने अपनी शिकायत में कहा।

द वाशिंगटन पोस्ट में एक ऑप-एड में, व्हाट्सएप के प्रमुख, विल कैथकार्ट ने लिखा है कि निगरानी ने दुनिया भर में कम से कम 100 मानवाधिकार रक्षकों, पत्रकारों और नागरिक समाज के अन्य सदस्यों को लक्षित किया। उन्होंने रेखांकित किया कि हमारे निजी जीवन में निगरानी को सक्षम करने वाले उपकरणों का दुरुपयोग किया जा रहा है, और इस तकनीक का गैर-जिम्मेदार कंपनियों और सरकारों के हाथों में प्रसार हम सभी को जोखिम में डालता है।

NSO Group एक तेल अवीव स्थित साइबर-सुरक्षा कंपनी है जो निगरानी तकनीक में माहिर है और दुनिया भर में सरकारों और कानून प्रवर्तन एजेंसियों को अपराध और आतंकवाद से लड़ने में मदद करने का दावा करती है।

तो वास्तव में पेगासस क्या है?

सभी स्पाइवेयर वही करते हैं जो नाम से पता चलता है - वे अपने फोन के जरिए लोगों की जासूसी करते हैं। पेगासस एक शोषण लिंक भेजकर काम करता है, और यदि लक्षित उपयोगकर्ता लिंक पर क्लिक करता है, तो उपयोगकर्ता के फोन पर मैलवेयर या निगरानी की अनुमति देने वाला कोड इंस्टॉल हो जाता है। (संभावित रूप से मैलवेयर के नए संस्करण के लिए किसी लिंक पर क्लिक करने के लिए लक्षित उपयोगकर्ता की भी आवश्यकता नहीं होती है। इस पर और अधिक नीचे।) एक बार पेगासस स्थापित हो जाने पर, हमलावर के पास लक्षित उपयोगकर्ता के फोन तक पूरी पहुंच होती है।

पेगासस के स्पाइवेयर संचालन पर पहली रिपोर्ट 2016 में सामने आई, जब यूएई में मानवाधिकार कार्यकर्ता अहमद मंसूर को उसके आईफोन 6 पर एक एसएमएस लिंक के साथ निशाना बनाया गया। डिवाइस ले लो। ऐप्पल ने समस्या को ठीक करने या ठीक करने के लिए अपडेट को आगे बढ़ाकर जवाब दिया।

सितंबर 2018 में, टोरंटो विश्वविद्यालय के मंक स्कूल ऑफ ग्लोबल अफेयर्स एंड पब्लिक पॉलिसी पर आधारित एक अंतःविषय प्रयोगशाला, सिटीजन लैब ने दिखाया कि पेगासस फोन पर सुरक्षा सुविधाओं को भेदने के लिए शून्य-दिन के कारनामों की एक श्रृंखला प्रदान करता है और बिना पेगासस को स्थापित करता है उपयोगकर्ता का ज्ञान या अनुमति। पेगासस स्पाइवेयर का संचालन उस समय 45 देशों में लाइव था, सिटीजन लैब अनुसंधान ने दिखाया।

(एक शून्य-दिन का शोषण पूरी तरह से अज्ञात भेद्यता है, जिसके बारे में सॉफ्टवेयर निर्माता भी नहीं जानते हैं, और इस प्रकार, इसके लिए कोई पैच या फिक्स उपलब्ध नहीं है। ऐप्पल और व्हाट्सएप के विशिष्ट मामलों में, इसलिए, न तो कंपनी थी सुरक्षा भेद्यता के बारे में पता है, जिसका उपयोग सॉफ्टवेयर का फायदा उठाने और डिवाइस को संभालने के लिए किया गया था।)

दिसंबर 2018 में, मॉन्ट्रियल स्थित सऊदी कार्यकर्ता उमर अब्दुलअज़ीज़ ने तेल अवीव की एक अदालत में एनएसओ समूह के खिलाफ एक मामला दर्ज कराया, जिसमें आरोप लगाया गया था कि पेगासस का उपयोग करके उसके फोन में घुसपैठ की गई थी, और बातचीत जो उसने अपने करीबी दोस्त, हत्या किए गए सऊदी असंतुष्ट पत्रकार के साथ की थी। जमाल खशोगी ने जासूसी की। खशोगी की 2 अक्टूबर, 2018 को इस्तांबुल में सऊदी वाणिज्य दूतावास में सऊदी एजेंटों द्वारा हत्या कर दी गई थी; अब्दुलअज़ीज़ ने कहा कि उनका मानना है कि उनका फोन उसी साल अगस्त में हैक किया गया था।

मई 2019 में, फाइनेंशियल टाइम्स ने बताया कि पेगासस का इस्तेमाल व्हाट्सएप का फायदा उठाने और संभावित लक्ष्यों की जासूसी करने के लिए किया जा रहा था। व्हाट्सएप ने सुरक्षा बग को ठीक करने के लिए एक जरूरी सॉफ्टवेयर अपडेट जारी किया जो स्पाइवेयर को ऐप का फायदा उठाने की अनुमति दे रहा था।

पेगासस विधि

एक लक्ष्य की निगरानी के लिए, एक पेगासस ऑपरेटर को एक विशेष रूप से तैयार किए गए 'शोषण लिंक' पर क्लिक करने के लिए एक लक्ष्य को राजी करना होगा जो ऑपरेटर को फोन पर सुरक्षा सुविधाओं में प्रवेश करने की अनुमति देता है और उपयोगकर्ता के ज्ञान या अनुमति के बिना पेगासस को स्थापित करता है। एक बार जब फोन का शोषण हो जाता है और पेगासस स्थापित हो जाता है, तो यह ऑपरेटर के कमांड और कंट्रोल सर्वर से ऑपरेटर कमांड प्राप्त करने और निष्पादित करने के लिए संपर्क करना शुरू कर देता है, और लक्ष्य के निजी डेटा को वापस भेजता है, जिसमें पासवर्ड, संपर्क सूची, कैलेंडर ईवेंट, टेक्स्ट संदेश और लाइव वॉयस कॉल शामिल हैं। लोकप्रिय मोबाइल मैसेजिंग ऐप। फोन के आसपास की गतिविधि को पकड़ने के लिए ऑपरेटर फोन के कैमरे और माइक्रोफोन को भी चालू कर सकता है। नवीनतम भेद्यता में, मुकदमे के विषय, 'शोषण लिंक' पर क्लिक करने की भी आवश्यकता नहीं हो सकती है और व्हाट्सएप पर एक मिस्ड वीडियो कॉल लक्ष्य से प्रतिक्रिया के बिना, फोन को खोलने में सक्षम होगा।

एक बार इंस्टाल हो जाने पर, Pegasus क्या कर सकता है?

सिटीजन लैब पोस्ट ने कहा कि पेगासस लोकप्रिय मोबाइल मैसेजिंग ऐप से पासवर्ड, संपर्क सूची, कैलेंडर ईवेंट, टेक्स्ट मैसेज और लाइव वॉयस कॉल सहित लक्ष्य के निजी डेटा को वापस भेज सकता है। निगरानी के दायरे का विस्तार करते हुए, फ़ोन के आसपास की सभी गतिविधियों को कैप्चर करने के लिए लक्ष्य के फ़ोन कैमरा और माइक्रोफ़ोन को चालू किया जा सकता है। पेगासस ब्रोशर में दावों के अनुसार कि व्हाट्सएप ने तकनीकी प्रदर्शनी के रूप में अदालत को प्रस्तुत किया है, मैलवेयर ईमेल, एसएमएस, स्थान ट्रैकिंग, नेटवर्क विवरण, डिवाइस सेटिंग्स और ब्राउज़िंग इतिहास डेटा तक भी पहुंच सकता है। यह सब लक्ष्य उपयोगकर्ता की जानकारी के बिना होता है।

ब्रोशर के अनुसार पेगासस की अन्य प्रमुख विशेषताएं हैं: पासवर्ड से सुरक्षित उपकरणों तक पहुंचने की क्षमता, लक्ष्य के लिए पूरी तरह से पारदर्शी होना, डिवाइस पर कोई निशान नहीं छोड़ना, कम से कम बैटरी, मेमोरी और डेटा की खपत ताकि अधिक अलर्ट में संदेह पैदा न हो। उपयोगकर्ता, जोखिम के जोखिम के मामले में एक आत्म-विनाश तंत्र, और गहन विश्लेषण के लिए किसी भी फ़ाइल को पुनः प्राप्त करने की क्षमता।

पेगासस नामक ब्रोशर: उत्पाद विवरण, कहता है कि पेगासस ब्लैकबेरी, एंड्रॉइड, आईओएस (आईफोन) और सिम्बियन-आधारित उपकरणों पर काम कर सकता है। अब बंद हो चुके मोबाइल ओएस सिम्बियन का उल्लेख और अब लोकप्रिय ब्लैकबेरी नहीं बताता है कि दस्तावेज़ पुराना है - और पेगासस को निश्चित रूप से वर्षों से अपग्रेड किया गया है।

और Pegasus ने WhatsApp का कैसे फायदा उठाया?

यह कई लोगों के लिए बड़ा सवाल है, यह देखते हुए कि व्हाट्सएप ने हमेशा अपने एंड-टू-एंड एन्क्रिप्शन को टॉम-टॉम किया है। इस साल मई में फाइनेंशियल टाइम्स की रिपोर्ट में कहा गया था कि डिवाइस पर सॉफ़्टवेयर इंस्टॉल करने के लिए ऐप पर एक मिस्ड कॉल की आवश्यकता थी - किसी भ्रामक लिंक पर क्लिक करने की आवश्यकता नहीं थी। व्हाट्सएप ने बाद में समझाया कि पेगासस ने ऐप पर वीडियो / वॉयस कॉल फ़ंक्शन का फायदा उठाया था, जिसमें शून्य-दिन सुरक्षा दोष था। इससे कोई फर्क नहीं पड़ता कि लक्ष्य ने कॉल नहीं लिया - मैलवेयर को वैसे भी स्थापित करने की अनुमति दी गई दोष।

शोषण ने v2.19.134 से पहले Android के लिए WhatsApp, v2.19.44 से पहले Android के लिए WhatsApp Business, v2.19.51 से पहले iOS के लिए WhatsApp, v2.19.51 से पहले iOS के लिए WhatsApp Business, v2.18.348 से पहले Windows फ़ोन के लिए WhatsApp को प्रभावित किया , और Tizen के लिए WhatsApp (जो सैमसंग उपकरणों द्वारा उपयोग किया जाता है) v2.18.15 से पहले।

ईपी उन्नी द्वारा एक्सप्रेस कार्टून।

क्या पेगासस का इस्तेमाल किसी को भी निशाना बनाने के लिए किया जा सकता है?

तकनीकी रूप से, हाँ। लेकिन बड़े पैमाने पर निगरानी के लिए पेगासस जैसे उपकरणों का उपयोग किया जा सकता है; ऐसा प्रतीत होता है कि केवल चयनित व्यक्तियों को ही लक्षित किया जाएगा। वर्तमान मामले में, व्हाट्सएप ने दावा किया है कि उसने लगभग 1,400 उपयोगकर्ताओं को एक विशेष संदेश भेजा, जिनके बारे में उनका मानना था कि वे हमले से प्रभावित थे, उन्हें सीधे सूचित करने के लिए कि क्या हुआ था।

व्हाट्सएप ने यह नहीं बताया है कि उसने भारत में कितने लोगों से संपर्क किया। यह वेबसाइट गुरुवार को सूचना दी कि भारत में कंपनी द्वारा कम से कम दो दर्जन शिक्षाविदों, वकीलों, दलित कार्यकर्ताओं और पत्रकारों को सतर्क किया गया था।

यह पता नहीं चल पाया है कि भारतीय ठिकानों पर निगरानी किसने की। एनएसओ ग्रुप ने व्हाट्सएप के आरोपों पर कड़े शब्दों में विवाद करते हुए कहा है कि यह विशेष रूप से लाइसेंस प्राप्त सरकारी खुफिया और कानून प्रवर्तन एजेंसियों को उपकरण प्रदान करता है, न कि केवल किसी को भी जो इसे चाहता है।

क्या व्हाट्सएप के एंड-टू-एंड एन्क्रिप्शन से अब समझौता हो गया है? क्या आपको किसी अन्य ऐप पर स्विच करना चाहिए - शायद सिग्नल या वायर या टेलीग्राम?

मैसेजिंग ऐप की बहुत लोकप्रियता इसे हैकर्स, साइबर अपराधियों या अन्य संस्थाओं के लिए एक लक्ष्य बनाती है। यहां तक कि दुनिया भर की कानून प्रवर्तन एजेंसियां चाहती हैं कि संदेशों को डिक्रिप्ट किया जाए - एक ऐसी मांग जिससे व्हाट्सएप लड़ रहा है, जिसमें भारत भी शामिल है।

व्हाट्सएप अपने एंड-टू-एंड एन्क्रिप्शन के लिए सिग्नल ऐप प्रोटोकॉल का उपयोग करता है, जो अब तक सुरक्षित लगता है। टेलीग्राम पर व्हाट्सएप का एक फायदा है: टेलीग्राम में, केवल गुप्त चैट एंड-टू-एन्क्रिप्टेड होते हैं, जबकि व्हाट्सएप पर सब कुछ डिफ़ॉल्ट रूप से एंड-टू-एंड एन्क्रिप्टेड होता है।

व्हाट्सएप एपिसोड से परेशान लोग सिग्नल या वायर पर स्विच करना चाह सकते हैं। हालांकि, यह जानना महत्वपूर्ण है कि दुनिया में लगभग हर सॉफ्टवेयर और ऐप के लिए अज्ञात 'शून्य-दिवस' कारनामे मौजूद हो सकते हैं - और यह कि भविष्य में किसी बिंदु पर व्यक्तियों या एजेंसियों द्वारा ऐसा करने के लिए निर्धारित किया जा सकता है।

अपने दोस्तों के साथ साझा करें: