पेगासस स्पाइवेयर कैसे काम करता है, और क्या मेरा फोन खतरे में है?

(पॉल हास्केल-डॉवलैंड, एसोसिएट डीन (कंप्यूटिंग और सिक्योरिटी), एडिथ कोवान विश्वविद्यालय और रॉबर्टो मुसोटो, शोध फेलो, एडिथ कोवान विश्वविद्यालय)

मेलबर्न, 21 जुलाई (द कन्वर्सेशन) एक प्रमुख मीडिया जांच में दुनिया भर की सरकारों द्वारा एक दुर्भावनापूर्ण सॉफ़्टवेयर के इस्तेमाल के सबूत मिले हैं, और इसमें प्रमुख व्यक्तियों पर जासूसी करने के आरोप भी शामिल हैं।

करीब 50,000 फोन नंबरों की जांच में पाया गया कि 50 देशों के 1,000 से अधिक लोगों की कथित रूप से पेगासस सॉफ्टवेयर के जरिये निगरानी की जा रही थी। सॉफ्टवेयर इजरायली कंपनी एनएसओ ग्रुप ने तैयार किया था और विभिन्न सरकारों को बेचा।

जिन लोगों की निगरानी की जा रही थी, उनमें जानेमाने पत्रकार, राजनेता, सरकारी अधिकारी, मुख्य कार्यकारी अधिकारी और मानवाधिकार कार्यकर्ता शामिल हैं।

उन्होंने यह कैसे किया?

पेगासस स्पाइवेयर पीड़ितों के फोन को कैसे संक्रमित करता है, इसे समझना कठिन नहीं है। सबसे पहले हैक में एक तैयार किया गया एसएमएस या आईमैसेज शामिल होता है, जो एक वेबसाइट का लिंक देता है। इस लिंक पर क्लिक करते ही ये सॉफ्टवेयर डिवाइस पर नियंत्रण कर लेता है।

ये सॉफ्टवेयर या तो रूटिंग (एंड्रायड उपकरण पर) या जेलब्रेकिंग (ऐपल आईओएस उपकरण पर) द्वारा मोबाइल उपकरण के ऑपरेटिंग सिस्टम पर पूरी तरह कब्जा हासिल कर लेता है।

रूटिंग और जेलब्रेकिंग दोनों ही एंड्रायड या आईओएस ऑपरेटिंग सिस्टम में एम्बेडेड सुरक्षा नियंत्रण को हटा देते हैं और इस तरह एक अनजान हमलावर का फोन पर पूरी तरह नियंत्रण हो जाता है।

पेगासस पर ज्यादातर मीडिया रिपोर्ट एपल उपकरणों पर नियंत्रण हासिल करने से संबंधित हैं।

स्पाइवेयर एंड्रायड उपकरण को भी संक्रमित करता है, लेकिन यह उतना प्रभावी नहीं है। लेकिन क्या एपल उपकरण अधिक सुरक्षित नहीं हैं?

एपल उपकरणों को आमतौर पर उनके एंड्रायड समकक्षों की तुलना में अधिक सुरक्षित माना जाता है, लेकिन कोई भी उपकरण 100 प्रतिशत सुरक्षित नहीं होता है।

एपल अपने ऑपरेटिंग सिस्टम के कोड के साथ ही ऐप स्टोर के माध्यम से डाउनलोड किए जाने वाले ऐप पर भारी नियंत्रण रखता है। अपडेट पर भी एपल का पूरी तरह नियंत्रण रहता है।

दूसरी ओर एंड्रायड उपकरण ओपन-सोर्स अवधारणाओं पर आधारित होते हैं, इसलिए हार्डवेयर निर्माता अतिरिक्त सुविधाओं को जोड़ने या डिस्प्ले को अनुकूलित कर सकते हैं। कुल मिलाकर दोनों ही मंच हमले का शिकार हो सकते हैं, हालांकि इसके लिए अधिक समय, प्रयास और धन निवेश करने की जरूरत होगी।

कैसे पता चल सकता है कि मेरी निगरानी की जा रही है?

इस बात की गुंजाइश कम ही है कि पेगासस स्पाइवेयर का इस्तेमाल किसी ऐसे व्यक्ति की निगरानी के लिए किया गया हो, जो सार्वजनिक रूप से महत्वपूर्ण या राजनीतिक रूप से सक्रिय नहीं है।

किसी भी स्पाइवेयर की यह खासियत होती है कि उपकरण पर गुप्त रहे। यानी किसी को आसानी से उसके बारे में पता न चले। ऐसे में किसी स्पाइवेयर हमले के बारे में पता करने का एक तरीका है।

इसके लिए एमनेस्टी इंटरनेशनल मोबाइल वेरिफिकेशन टूलकिट (एमवीटी) का उपयोग करें। यह टूल लाइनेक्स या मैकओएस के तहत चल सकता है और फोन से लिए गए बैकअप का विश्लेषण करके आपके मोबाइल डिवाइस की फ़ाइलों और कॉन्फिगरेशन की जांच कर सकता है।

हालांकि, इस विश्लेषण से उपकरण में छेड़छाड़ की पुष्टि या खंडन नहीं होता है और इससे सिर्फ कुछ संकेत मिलते हैं, जो संक्रमण का प्रमाण दे सकते हैं।

बेहतर सुरक्षा के लिए क्या किया जा सकता है?

ज्यादातर लोगों के लिए इस प्रकार के हमले की आशंका नहीं है, फिर भी आप अपने संभावित जोखिम को कम करने के लिए कुछ आसान कदम उठा सकते हैं-

1) अपने उपकरण का इस्तेमाल करते समय सिर्फ ज्ञात और भरोसेमंद संपर्कों और स्रोतों से लिंक खोलें।

2) सुनिश्चित करें कि आपका उपकरण किसी भरोसेमंद पैच और अपग्रेड के साथ अपडेट हो। अगर आप एंड्रायड का इस्तेमाल करते हैं तो ऑपरेटिंग सिस्टम के नए संस्करणों के लिए नोटिफिकेशन पर निर्भर न रहें। नवीनतम संस्करण की स्वयं जांच करें, क्योंकि हो सकता है कि आपके उपकरण निर्माता ने अपडेट जारी ही न किया हो।

3) अपने फोन को लोगों की पहुंच से दूर रखें। उपकरण पर पिन, फिंगर या फेस-लॉकिंग को सक्षम करके ऐसा करें।

4) सार्वजनिक और मुफ्त वाईफाई सेवाओं (होटल सहित) से बचें, खासकर यदि आपकी पहुंच संवेदनशील जानकारी तक हो तो। जब आपको ऐसे नेटवर्क का इस्तेमाल करना जरूरी हो तो वीपीएन का उपयोग एक अच्छा समाधान है।

5) अपने डिवाइस डेटा को एन्क्रिप्ट करें और यदि उपलब्ध हो तो रिमोट-वाइप फीचर को सक्षम करें। ऐसे में अगर आपका उपकरण खो जाता है या चोरी हो जाता है, तो आपका डेटा सुरक्षित रह सकता है।

(द कन्वर्सेशन) पाण्डेय अजय

अजय