Lok Shakti

Nationalism Always Empower People

पेगासस स्पाइवेयर ‘शून्य-क्लिक’ दोष को बंद करने के लिए ऐप्पल आपातकालीन सुरक्षा अद्यतन जारी करता है

Apple ने सोमवार को अपने उत्पादों में एक महत्वपूर्ण भेद्यता के लिए आपातकालीन सॉफ़्टवेयर अपडेट जारी किए, जब सुरक्षा शोधकर्ताओं ने एक दोष का खुलासा किया, जो इज़राइल के NSO समूह के अत्यधिक आक्रामक स्पाइवेयर को किसी के भी iPhone, iPad, Apple वॉच या मैक कंप्यूटर को एक क्लिक के बिना संक्रमित करने की अनुमति देता है।

ऐप्पल की सुरक्षा टीम ने मंगलवार से एक फिक्स विकसित करने के लिए चौबीसों घंटे काम किया था, जब टोरंटो विश्वविद्यालय में एक साइबर सुरक्षा निगरानी संगठन सिटीजन लैब के शोधकर्ताओं ने पाया कि एक सऊदी कार्यकर्ता का आईफोन एनएसओ से स्पाइवेयर के उन्नत रूप से संक्रमित हो गया था।

पेगासस नामक स्पाइवेयर ने पीड़ितों की जानकारी के बिना Apple उपकरणों को अदृश्य रूप से संक्रमित करने के लिए एक नई विधि का उपयोग किया। “शून्य क्लिक रिमोट शोषण” के रूप में जाना जाता है, इसे निगरानी की पवित्र कब्र माना जाता है क्योंकि यह सरकारों, भाड़े के सैनिकों और अपराधियों को पीड़ित को बताए बिना किसी के डिवाइस में गुप्त रूप से तोड़ने की अनुमति देता है।

पेगासस स्पाइवेयर ‘शून्य-क्लिक दोष’ को बंद करने के लिए ऐप्पल आपातकालीन सुरक्षा अद्यतन जारी करता है

शून्य-क्लिक संक्रमण पद्धति का उपयोग करते हुए, पेगासस उपयोगकर्ता के कैमरे और माइक्रोफ़ोन को चालू कर सकता है, संदेश, टेक्स्ट, ईमेल, कॉल रिकॉर्ड कर सकता है – यहां तक ​​कि एन्क्रिप्टेड मैसेजिंग और सिग्नल जैसे फोन ऐप के माध्यम से भेजे गए – और उन्हें आसपास की सरकारों में एनएसओ के ग्राहकों को वापस भेज सकता है। दुनिया।

सिटीजन लैब के एक वरिष्ठ शोधकर्ता जॉन स्कॉट-रेल्टन ने कहा, “यह स्पाइवेयर वह सब कुछ कर सकता है जो एक iPhone उपयोगकर्ता अपने डिवाइस पर कर सकता है और बहुत कुछ।”

खोज का मतलब है कि दुनिया भर में उपयोग में आने वाले 1.65 बिलियन से अधिक Apple उत्पाद कम से कम मार्च से NSO के स्पाइवेयर की चपेट में हैं। यह साइबर सुरक्षा हथियारों की दौड़ में एक गंभीर वृद्धि का संकेत देता है, सरकारें डिजिटल संचार पर जासूसी करने के लिए जो कुछ भी भुगतान करने को तैयार हैं, और तकनीकी कंपनियों, मानवाधिकार कार्यकर्ताओं और अन्य लोगों के साथ नवीनतम कमजोरियों को उजागर करने और ठीक करने के लिए दौड़ रही है जो इस तरह की निगरानी को सक्षम करते हैं।

बिल मार्कज़क, जो कैलिफोर्निया विश्वविद्यालय, बर्कले के परिसर में, 19 मई, 2016 को दुनिया भर में स्पाइवेयर के प्रसार पर नज़र रख रहे हैं। Apple ने सोमवार, 13 सितंबर, 2021 को एक महत्वपूर्ण भेद्यता के लिए आपातकालीन सॉफ़्टवेयर अपडेट जारी किए। सुरक्षा शोधकर्ताओं ने एक दोष का खुलासा करने के बाद इसके उत्पादों को एक क्लिक के बिना किसी के आईफोन, ऐप्पल वॉच या मैक कंप्यूटर को संक्रमित करने के लिए इज़राइल के एनएसओ समूह से अत्यधिक आक्रामक स्पाइवेयर की अनुमति दी। (एलिजाबेथ डी. हरमन/द न्यूयॉर्क टाइम्स)

अतीत में, पीड़ितों को पता चला कि उनके फोन या ईमेल पर एक संदिग्ध लिंक प्राप्त होने और पत्रकारों या साइबर सुरक्षा विशेषज्ञों के साथ लिंक साझा करने के बाद ही उनके डिवाइस स्पाइवेयर से संक्रमित थे। लेकिन एनएसओ की शून्य-क्लिक क्षमता का मतलब है कि पीड़ितों को ऐसा कोई संकेत नहीं मिला, और दोष ने किसी व्यक्ति के डिजिटल जीवन तक पूर्ण पहुंच को सक्षम किया। इस तरह की क्षमताएं हैकिंग टूल के लिए भूमिगत बाजार में लाखों डॉलर ला सकती हैं, जहां सरकारें नियामक नहीं हैं, लेकिन ग्राहक हैं और सबसे आकर्षक खर्च करने वालों में से हैं।

सोमवार को, Apple के सुरक्षा इंजीनियरिंग और वास्तुकला के प्रमुख, इवान क्रिस्टिक ने इसके निष्कर्षों के लिए सिटीजन लैब की सराहना की और ग्राहकों से iOS 14.8, MacOS 11.6 और WatchOS 7.6.2 स्थापित करके सुधारों को प्रभावी करने के लिए नवीनतम सॉफ़्टवेयर अपडेट चलाने का आग्रह किया।

क्रिस्टीक ने कहा, “वर्णित हमले जैसे हमले अत्यधिक परिष्कृत हैं, विकसित होने में लाखों डॉलर खर्च होते हैं, अक्सर एक छोटी शेल्फ लाइफ होती है और विशिष्ट व्यक्तियों को लक्षित करने के लिए उपयोग की जाती है।”

Apple ने कहा है कि वह अपने अगले iOS 15 सॉफ़्टवेयर अपडेट में iMessage, Apple के टेक्स्टिंग एप्लिकेशन के लिए नए सुरक्षा बचाव पेश करने की योजना बना रहा है, जो इस साल के अंत में होने की उम्मीद है।

एनएसओ ने सोमवार को तुरंत पूछताछ का जवाब नहीं दिया।

एनएसओ लंबे समय से विवादों में रहा है। कंपनी ने कहा है कि वह अपने स्पाइवेयर केवल उन सरकारों को बेचती है जो सख्त मानवाधिकार मानकों को पूरा करती हैं और यह स्पष्ट रूप से ग्राहकों को केवल आतंकवादियों या अपराधियों को ट्रैक करने के लिए अपने स्पाइवेयर का उपयोग करने के लिए सहमत होने की आवश्यकता है।

लेकिन पिछले छह वर्षों में, एनएसओ का पेगासस स्पाइवेयर सऊदी अरब, संयुक्त अरब अमीरात और मैक्सिको जैसे देशों में कार्यकर्ताओं, असंतुष्टों, वकीलों, डॉक्टरों, पोषण विशेषज्ञों और यहां तक ​​कि बच्चों के फोन पर आया है।

2016 में शुरू, न्यूयॉर्क टाइम्स की जांच की एक श्रृंखला ने विस्तारित मतदान अधिकारों की पैरवी करने वाले अमीराती कार्यकर्ताओं के iPhones पर NSO के स्पाइवेयर की उपस्थिति का खुलासा किया; मैक्सिकन पोषण विशेषज्ञ राष्ट्रीय सोडा टैक्स की पैरवी कर रहे हैं; 43 मैक्सिकन छात्रों के सामूहिक लापता होने की जांच कर रहे वकील; शिक्षाविद जिन्होंने भ्रष्टाचार विरोधी कानून लिखने में मदद की; मेक्सिको और इंग्लैंड में पत्रकार; और मेक्सिको की पुलिस द्वारा यौन शोषण के शिकार लोगों का प्रतिनिधित्व करने वाला एक अमेरिकी।

जुलाई में, एनएसओ एमनेस्टी इंटरनेशनल, मानवाधिकार प्रहरी, और फॉरबिडन स्टोरीज़, एक समूह जो मुक्त भाषण पर ध्यान केंद्रित करता है, के बाद एक सूची प्रकाशित करने के लिए “द पेगासस प्रोजेक्ट” पर मीडिया संगठनों के एक संघ के साथ मिलकर आगे की जांच का विषय बन गया। पत्रकारों, सरकारी नेताओं, असंतुष्टों और कार्यकर्ताओं द्वारा उपयोग किए जाने वाले 50,000 फोन नंबर, जिनके बारे में उन्होंने कहा कि एनएसओ के ग्राहकों द्वारा लक्ष्य के रूप में चुने गए थे।

संघ ने यह खुलासा नहीं किया कि उसने सूची कैसे प्राप्त की थी, और यह स्पष्ट नहीं था कि सूची आकांक्षी थी या लोगों को वास्तव में एनएसओ स्पाइवेयर के साथ लक्षित किया गया था।

सूचीबद्ध लोगों में आजम अहमद थे, जो द टाइम्स के लिए मेक्सिको सिटी ब्यूरो प्रमुख थे और जिन्होंने लैटिन अमेरिका में भ्रष्टाचार, हिंसा और निगरानी पर व्यापक रूप से रिपोर्ट किया है, जिसमें एनएसओ भी शामिल है; और बेरूत में द टाइम्स के ब्यूरो प्रमुख बेन हबर्ड, जिन्होंने सऊदी अरब में अधिकारों के हनन और भ्रष्टाचार की जांच की है और सऊदी क्राउन प्रिंस मोहम्मद बिन सलमान की हाल की जीवनी लिखी है।

इसमें फ्रांस के राष्ट्रपति इमैनुएल मैक्रॉन, दक्षिण अफ्रीका के राष्ट्रपति सिरिल रामफोसा, मिस्र के प्रधान मंत्री मुस्तफा मदबौली, पाकिस्तान के प्रधान मंत्री इमरान खान, साद-एडिन एल ओथमानी, जो हाल ही में प्रधान मंत्री थे, सहित 14 राष्ट्राध्यक्ष भी शामिल थे। मोरक्को, और यूरोपीय परिषद के प्रमुख चार्ल्स मिशेल।

एनएसओ ग्रुप के सह-संस्थापक शैलेव हुलियो ने द टाइम्स को बताते हुए सूची की सटीकता का जोरदार खंडन किया, “यह सफेद पन्नों को खोलने, 50,000 नंबर चुनने और इससे कुछ निष्कर्ष निकालने जैसा है।”

इस वर्ष तथाकथित शून्य दिनों की खोज के लिए एक रिकॉर्ड दर्ज किया गया है, गुप्त सॉफ़्टवेयर दोष जैसे कि एनएसओ अपने स्पाइवेयर को स्थापित करने के लिए उपयोग करता था। इस साल, चीनी हैकर्स को ईमेल चोरी करने और रैंसमवेयर प्लांट करने के लिए माइक्रोसॉफ्ट एक्सचेंज में जीरो डेज का इस्तेमाल करते हुए पकड़ा गया था। जुलाई में, रैंसमवेयर अपराधियों ने लगभग 1,000 कंपनियों के नेटवर्क को नीचे लाने के लिए टेक कंपनी कासिया द्वारा बेचे गए सॉफ़्टवेयर में एक शून्य दिन का उपयोग किया।

स्पाइवेयर उद्योग सालों से ब्लैक बॉक्स रहा है। स्पाइवेयर की बिक्री को गैर-प्रकटीकरण समझौतों में बंद कर दिया जाता है और अक्सर सीमित, यदि कोई हो, के साथ वर्गीकृत कार्यक्रमों में शामिल किया जाता है।

एनएसओ के ग्राहकों ने पहले टेक्स्ट संदेशों का उपयोग करके अपने लक्ष्यों को संक्रमित किया जो पीड़ितों को लिंक पर क्लिक करने के लिए प्रेरित करते थे। उन लिंक्स ने पत्रकारों और शोधकर्ताओं के लिए नागरिक लैब जैसे संगठनों में स्पाइवेयर की संभावित उपस्थिति की जांच करना संभव बना दिया। लेकिन NSO का नया ज़ीरो-क्लिक तरीका पत्रकारों और साइबर सुरक्षा शोधकर्ताओं द्वारा स्पाइवेयर की खोज को बहुत कठिन बना देता है।

सिटीजन लैब के शोधकर्ता मार्कजाक ने कहा, “व्यावसायिक स्पाइवेयर उद्योग गहरा होता जा रहा है।”

सिटीजन लैब ने कहा कि ऑपरेशन का पैमाना और दायरा स्पष्ट नहीं था। मार्कजाक ने कहा, मार्च में सऊदी कार्यकर्ता के आईफोन और अन्य आईफोन पर पेगासस की खोज के समय के आधार पर, यह कहना सुरक्षित था कि स्पाइवेयर कम से कम छह महीने से ऐप्पल डिवाइस से डेटा छीन रहा था।

ज़ीरो-क्लिक शोषण, जिसे सिटीजन लैब ने “फोर्सडेंट्री” करार दिया, फोरेंसिक शोधकर्ताओं द्वारा खोजे गए सबसे परिष्कृत कारनामों में से एक था। 2019 में, शोधकर्ताओं ने खुलासा किया कि फेसबुक मैसेजिंग सेवा व्हाट्सएप के 1,400 उपयोगकर्ताओं के खिलाफ एक समान एनएसओ जीरो-क्लिक शोषण को तैनात किया गया था। पिछले साल, सिटीजन लैब ने एक डिजिटल ट्रेल पाया जिसमें सुझाव दिया गया था कि Apple iMessages को पढ़ने के लिए NSO के पास शून्य-क्लिक का शोषण हो सकता है, लेकिन शोधकर्ताओं ने कभी भी पूर्ण शोषण की खोज नहीं की।

फोर्सडेंट्री पहली बार था जब शोधकर्ताओं ने कार्यकर्ताओं और असंतुष्टों के फोन पर एक पूर्ण, शून्य-क्लिक शोषण को सफलतापूर्वक पुनर्प्राप्त किया। जब ऐसी खोजों का पता चलता है, तो सरकारें और साइबर अपराधी आमतौर पर कमजोर प्रणालियों का फायदा उठाने की कोशिश करते हैं, इससे पहले कि उपयोगकर्ताओं को उन्हें पैच करने का मौका मिले, जिससे समय पर पैचिंग महत्वपूर्ण हो जाती है।

Scott-Railton ने Apple के ग्राहकों से अपने सॉफ़्टवेयर अपडेट तुरंत चलाने का आग्रह किया।

“क्या आपके पास Apple उत्पाद है? इसे आज ही अपडेट करें, ”उन्होंने कहा।

यह लेख मूल रूप से द न्यूयॉर्क टाइम्स में छपा था।

.