बस उस संदेश को देखना आपके डिवाइस से समझौता कर सकता है

December 20, 2021
मेंसमाचार इंटरनेट सुरक्षा

चाबी छीनना

सिटीजन लैब द्वारा उजागर किए गए जासूसी घोटाले का विश्लेषण करते हुए, Google सुरक्षा शोधकर्ताओं ने एक उपन्यास हमले तंत्र की खोज की है जिसे शून्य-क्लिक शोषण के रूप में जाना जाता है।
एंटीवायरस जैसे पारंपरिक सुरक्षा उपकरण शून्य-क्लिक कारनामों को नहीं रोक सकते।
Apple ने एक को रोक दिया है, लेकिन शोधकर्ताओं को डर है कि भविष्य में और अधिक शून्य-क्लिक कारनामे होंगे।

एक किशोर दीवार के सहारे झुककर आईफोन देख रहा था। — स्क्रीन पोस्ट / Unspalsh.com

सुरक्षा सर्वोत्तम प्रथाओं का पालन करना जैसे उपकरणों को रखने के लिए कार्रवाई का एक विवेकपूर्ण तरीका माना जाता है लैपटॉप और स्मार्टफोन सुरक्षित हैं, या यह तब तक था जब तक कि शोधकर्ताओं ने एक नई तरकीब की खोज नहीं की जो वस्तुतः है पता लगाने योग्य नहीं।

के रूप में वे विच्छेदन हाल ही में पैच किया गया ऐप्पल बग जिसका उपयोग विशिष्ट लक्ष्यों पर पेगासस स्पाइवेयर स्थापित करने के लिए किया गया था, Google के प्रोजेक्ट के सुरक्षा शोधकर्ता ज़ीरो ने एक अभिनव नए आक्रमण तंत्र की खोज की है जिसे उन्होंने "ज़ीरो-क्लिक शोषण" करार दिया है, जिसे कोई भी मोबाइल एंटीवायरस नहीं कर सकता पन्नी।

"डिवाइस का उपयोग न करने की कमी, 'शून्य-क्लिक शोषण' द्वारा शोषण को रोकने का कोई तरीका नहीं है; यह एक ऐसा हथियार है जिसके खिलाफ कोई बचाव नहीं है," दावा किया

Google प्रोजेक्ट ज़ीरो इंजीनियर इयान बीयर और सैमुअल ग्रो एक ब्लॉग पोस्ट में।

फ्रेंकस्टीन का दानव

पेगासस स्पाइवेयर एनएसओ ग्रुप के दिमाग की उपज है, जो एक इजरायली प्रौद्योगिकी फर्म है जो अब हो गई है अमेरिका में जोड़ा गया "इकाई सूची, "जो अनिवार्य रूप से इसे अमेरिकी बाजार से ब्लॉक करता है।

"यह स्पष्ट नहीं है कि सेल फोन पर गोपनीयता की उचित व्याख्या क्या है, जहां हम अक्सर सार्वजनिक स्थानों पर अत्यधिक व्यक्तिगत कॉल करते हैं। लेकिन हम निश्चित रूप से किसी से हमारे फोन पर सुनने की उम्मीद नहीं करते हैं, हालांकि पेगासस लोगों को ऐसा करने में सक्षम बनाता है।" सरयू नैय्यरी, साइबर सुरक्षा कंपनी के सीईओ गुरुकुल, Lifewire को एक ईमेल में।

"अंतिम उपयोगकर्ताओं के रूप में, हमें अज्ञात या अविश्वसनीय स्रोतों से संदेश खोलने के बारे में हमेशा सतर्क रहना चाहिए, चाहे विषय या संदेश कितना भी आकर्षक क्यों न हो..."

पेगासस स्पाइवेयर जुलाई 2021 में सुर्खियों में आया, जब एमनेस्टी इंटरनेशनल ने खुलासा किया इसका इस्तेमाल दुनिया भर में पत्रकारों और मानवाधिकार कार्यकर्ताओं की जासूसी करने के लिए किया जाता था।

इसके बाद a सिटीजन लैब के शोधकर्ताओं से रहस्योद्घाटन अगस्त 2021 में, जब उन्हें iPhone 12 Pro के नौ बहरीन के कार्यकर्ताओं की निगरानी के सबूत मिले एक कारनामे के माध्यम से जिसने iOS 14 में नवीनतम सुरक्षा सुरक्षा को सामूहिक रूप से ब्लास्टडूर के रूप में जाना।

वास्तव में, Apple ने दायर किया है एनएसओ ग्रुप के खिलाफ मुकदमा, इसे अपने पेगासस स्पाइवेयर के माध्यम से Apple उपयोगकर्ताओं का सर्वेक्षण करने के लिए iPhone सुरक्षा तंत्र को दरकिनार करने के लिए जवाबदेह ठहराते हुए।

"एनएसओ समूह जैसे राज्य प्रायोजित अभिनेता प्रभावी जवाबदेही के बिना परिष्कृत निगरानी प्रौद्योगिकियों पर लाखों डॉलर खर्च करते हैं। इसे बदलने की जरूरत है," कहा क्रेग फेडेरिघी, एप्पल के सॉफ्टवेयर इंजीनियरिंग के वरिष्ठ उपाध्यक्ष, मुकदमे के बारे में प्रेस विज्ञप्ति में।

दो-भाग वाले Google प्रोजेक्ट ज़ीरो पोस्ट में, बीयर और ग्रॉस ने बताया कि कैसे NSO समूह को पेगासस स्पाइवेयर मिला जीरो-क्लिक अटैक मैकेनिज्म का उपयोग करते हुए लक्ष्य के iPhone, जिसे उन्होंने अविश्वसनीय और भयानक दोनों के रूप में वर्णित किया।

एक शून्य-क्लिक शोषण वास्तव में ऐसा लगता है- पीड़ितों को समझौता करने के लिए कुछ भी क्लिक या टैप करने की आवश्यकता नहीं है। इसके बजाय, आपत्तिजनक मैलवेयर के साथ केवल एक ईमेल या संदेश को देखने से यह डिवाइस पर इंस्टॉल हो जाता है।

स्मार्टफोन पर संदेशों का क्लोजअप। — जेमी स्ट्रीट / Unsplash.com

प्रभावशाली और खतरनाक

रिसर्चर्स के मुताबिक, अटैक की शुरुआत iMessage ऐप पर एक नापाक मैसेज के जरिए होती है। हैकर्स द्वारा तैयार की गई जटिल हमले पद्धति को तोड़ने में हमारी मदद करने के लिए, लाइफवायर ने स्वतंत्र सुरक्षा शोधकर्ता की मदद ली देवानंद प्रेमकुमार.

प्रेमकुमार ने समझाया कि एनिमेटेड .gif फ़ाइलों को संभालने के लिए iMessage में कई अंतर्निहित तंत्र हैं। इनमें से एक विधि ImageIO नामक लाइब्रेरी का उपयोग करके विशिष्ट फ़ाइल स्वरूप की जांच करती है। लक्षित आईफोन तक पहुंच प्राप्त करने के लिए हैकर्स ने कोरग्राफिक्स नामक अंतर्निहित समर्थन पुस्तकालय में कमजोरी का फायदा उठाने के लिए 'जीआईएफ ट्रिक' का इस्तेमाल किया।

"अंतिम उपयोगकर्ताओं के रूप में, हमें अज्ञात या अविश्वसनीय स्रोतों से संदेश खोलने के बारे में हमेशा सतर्क रहना चाहिए, चाहे कितना भी आकर्षक क्यों न हो विषय या संदेश हो, जैसा कि मोबाइल फोन में प्राथमिक प्रवेश बिंदु के रूप में उपयोग किया जा रहा है," प्रेमकुमार ने लाइफवायर को सलाह दी ईमेल।

प्रेमकुमार ने कहा कि वर्तमान आक्रमण तंत्र केवल iPhones पर काम करने के लिए जाना जाता है क्योंकि वह उन कदमों से गुजरा है जो Apple ने वर्तमान भेद्यता को कम करने के लिए उठाए हैं। लेकिन जबकि वर्तमान हमले पर अंकुश लगा दिया गया है, हमले के तंत्र ने भानुमती का पिटारा खोल दिया है।

लाल iPhone पर ऐप पेज पर क्लोजअप बड़ी संख्या में वह ईमेल बैज दिखा रहा है। — सारा कुर्फी / अनप्लैश

"ज़ीरो-क्लिक कारनामे जल्द ही खत्म होने वाले नहीं हैं। इस तरह के अधिक से अधिक शून्य-क्लिक कारनामों का परीक्षण किया जाएगा और उच्च प्रोफ़ाइल लक्ष्यों के खिलाफ तैनात किया जाएगा संवेदनशील और मूल्यवान डेटा जो ऐसे शोषित उपयोगकर्ताओं के मोबाइल फोन से निकाला जा सकता है," कहा प्रेमकुमार।

इस बीच, NSO के खिलाफ मुकदमे के अलावा, Apple ने तकनीकी, खतरे की खुफिया जानकारी और इंजीनियरिंग सहायता प्रदान करने का निर्णय लिया है सिटीजन लैब के शोधकर्ताओं के लिए नि: शुल्क और इसमें महत्वपूर्ण कार्य करने वाले अन्य संगठनों को समान सहायता प्रदान करने का वादा किया है स्थान।

इसके अतिरिक्त, कंपनी 10 मिलियन डॉलर के योगदान के साथ-साथ सभी नुकसानों की हद तक चली गई है साइबर-निगरानी की वकालत और अनुसंधान में शामिल संगठनों का समर्थन करने के लिए मुकदमे से सम्मानित किया गया गालियाँ।