1 पॉइंट द्वारा GN⁺ 2024-04-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • उच्च जोखिम वाले व्यक्तियों को निशाना बनाने वाले mercenary spyware खतरे की फिर पुष्टि हुई है, और Apple ने 92 देशों के iPhone यूज़र्स को targeted attack की संभावना की जानकारी दी
  • यह alert Apple ID से जुड़े iPhone को remote compromise करने की कोशिश detect होने के बारे में है, लेकिन हमलावर की पहचान और लक्षित देशों का खुलासा नहीं किया गया
  • Apple ने कहा कि detection में पूर्ण निश्चितता नहीं हो सकती, फिर भी यह चेतावनी high confidence वाली है और इसे गंभीरता से लेना चाहिए
  • 2021 के बाद से Apple ने 150 से अधिक देशों के यूज़र्स को ऐसे ही alerts भेजे हैं, और पिछले साल अक्टूबर में भारत के पत्रकारों और राजनेताओं को भी इसी तरह की चेतावनी भेजी थी
  • Apple ने पहले इस्तेमाल होने वाले “state-sponsored” शब्द को “mercenary spyware attacks” से बदल दिया है, और Pegasus जैसे हमलों को आम malware की तुलना में कहीं अधिक sophisticated और दुर्लभ बताया है

92 देशों के iPhone यूज़र्स को भेजे गए threat alerts

  • Apple ने बुधवार दोपहर (Pacific Time) 92 देशों के individual users को threat alerts भेजे
  • alert में चेतावनी दी गई थी कि Apple ID से जुड़ा iPhone mercenary spyware attack के जरिए remotely compromise हो सकता है
  • TechCrunch द्वारा देखे गए alert में हमलावर की पहचान या उन देशों का खुलासा नहीं किया गया जहां यूज़र्स को alert मिला
  • यूज़र्स को भेजा गया मुख्य संदेश इस प्रकार था
    • हमला संभवतः यूज़र कौन है या क्या करता है, इस वजह से उसे व्यक्तिगत तौर पर target बनाकर किया गया हो सकता है
    • ऐसे हमलों में detection process के दौरान पूर्ण निश्चितता की गारंटी देना मुश्किल होता है
    • Apple को इस चेतावनी पर high confidence है, और यूज़र्स को इसे गंभीरता से लेना चाहिए
  • Apple ने बताया कि हमलावर भविष्य में detection से बचने के लिए अपने तरीके बदल सकते हैं, इसलिए alert भेजे जाने के कारणों पर और विस्तृत जानकारी नहीं दी जा सकती

बार-बार आए alerts और शब्दावली में बदलाव

  • Apple ऐसे alerts साल में कई बार भेजता है, और उसने support page पर लिखा है कि 2021 के बाद से 150 से अधिक देशों के यूज़र्स को ऐसे ही खतरों की सूचना दी गई है
  • पिछले साल अक्टूबर में भारत के कई पत्रकारों और राजनेताओं को भी यही चेतावनी भेजी गई थी
    • इसके बाद Amnesty International ने रिपोर्ट किया कि भारत के प्रमुख पत्रकारों के iPhone में इज़राइली spyware कंपनी NSO Group का intrusive spyware Pegasus मिला
    • मामले की जानकारी रखने वाले लोगों के अनुसार, latest threat alert पाने वाले यूज़र्स में भारतीय यूज़र्स भी शामिल थे
  • यह alert ऐसे समय आया है जब कई देश चुनावों की तैयारी कर रहे हैं
    • हाल में कई tech companies ने कुछ चुनावी नतीजों को प्रभावित करने की कोशिश करने वाली state-backed गतिविधियों में बढ़ोतरी की चेतावनी दी है
    • Apple के alert में खुद भेजे जाने के समय के बारे में कुछ नहीं कहा गया
  • Apple पहले हमलावरों को “state-sponsored” कहता था, लेकिन अब उसने संबंधित सभी शब्दों को “mercenary spyware attacks” से बदल दिया है
  • Pegasus जैसे mercenary spyware attacks को सामान्य cybercrime या consumer malware की तुलना में कहीं अधिक sophisticated और असाधारण रूप से दुर्लभ माना जाता है
  • Apple ने कहा है कि ऐसे हमलों का पता लगाने के लिए वह केवल internal threat intelligence information and investigations का उपयोग करता है
  • संबंधित सामग्री: यह जांचने का tool कि NSO के Pegasus spyware ने आपके phone को target किया है या नहीं

1 टिप्पणियां

 
GN⁺ 2024-04-12
Hacker News टिप्पणियाँ
  • इस चेतावनी को पाने वाले किसी व्यक्ति द्वारा पोस्ट किया गया एक Reddit थ्रेड है: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
    दिलचस्प बात यह है कि वह खुद को बस एक साधारण कॉलेज छात्र बताता है, और अगर वह सचमुच कोई गुप्त एजेंट जैसा व्यक्ति होता, तो शायद Reddit पर नहीं पूछता, इसलिए यह बात कुछ हद तक विश्वसनीय भी लगती है
    यह सोचने वाली बात है कि क्या हैकर्स फोन नंबर जैसी किसी चीज़ के आधार पर लक्ष्य चुनते हैं। यह भी संभव है कि उस छात्र को हाल ही में नया नंबर मिला हो, और वह नंबर पहले किसी लक्ष्य से जुड़ा रहा हो। हालांकि, ऐसा लगता है कि जिन नंबरों के लक्ष्य के रूप में पहचाने जाने की आशंका हो, उन्हें छोड़ने का कोई तरीका तो होना चाहिए

    • ऐसा लगता है कि state-sponsored attackers या mercenary attackers के लिए प्रभावी या आदर्श लक्ष्य क्या होता है, इसे लेकर कुछ गलतफहमी है। सिर्फ़ किसी research lab, industrial manufacturer, power plant, tech company में काम करना, या किसी खास professor को जानना भी आपको target list में डाल सकता है
    • वह व्यक्ति वास्तव में सिर्फ़ एक छात्र हो सकता है, लेकिन उसका किसी वास्तविक लक्ष्य से किसी न किसी तरह संबंध भी हो सकता है। अगर यह किसी जटिल operation का हिस्सा है, तो वे indirect access की कोशिश कर रहे हो सकते हैं
    • सब लोग सिर्फ़ academic secrets के बारे में सोचते हैं, लेकिन यह भी देखना चाहिए कि कहीं वह किसी रूप में activism से जुड़ा तो नहीं है
      अगर activists पर कब्ज़ा करके भरोसा तोड़ा जा सके, तो यह बहुत बड़ी क्षमता है। xz compression backdoor भी अगर किसी खास सरकार द्वारा अपने विरोधियों को गिराने या बदनाम करने की क्षमता हासिल करने की कोशिश थी, तो इसमें मुझे बिल्कुल भी हैरानी नहीं होगी
    • वह व्यक्ति पिछले summer में भी पहले से target किया गया था। संभव है कि वह उतना गैर-रोचक व्यक्ति न हो जितना वह खुद मानता या दावा करता है
    • वह लक्ष्य के परिवार या परिचितों में से भी हो सकता है। मैंने शौक़िया तौर पर काफ़ी OSINT (Open Source Intelligence) किया है, और जब किसी target को ढूंढना होता है, तो कभी-कभी सीधे केंद्र पर जाने के बजाय थोड़ा बाहर के लोगों के ज़रिए triangulate या pivot करके पहुँचा जाता है
  • Metaverse, mercenary spyware, AI war targeting, और killing drones जैसी चीज़ें देखते हुए बार-बार यही सोच आता है कि किसने Neuromancer पढ़कर कहा होगा, “वाह, कितना खूबसूरत भविष्य है! इस शानदार future vision को असलियत में कैसे बदलें?”

    • sci-fi लेखक: मैंने अपनी किताब में Torment Nexus को एक चेतावनीभरी कहानी के तौर पर गढ़ा था
      tech company: हमें आखिरकार क्लासिक sci-fi उपन्यास “Torment Nexus मत बनाइए” में आने वाला Torment Nexus बनाने में सफलता मिल गई
      https://twitter.com/AlexBlechman/status/1457842724128833538
    • Neuromancer पढ़कर ऐसा सोचने वाले लोग शायद वही होंगे जिन्होंने 1984 पढ़कर भी वही सोचा होगा
      या फिर वे लोग होंगे जिन्होंने 1984 पढ़ी ही नहीं, इसलिए उसकी चेतावनी समझ ही नहीं पाए
    • “सही तरीके से करने की चिंता मत करो, बस जल्दी करो, बाद में ठीक कर लेंगे” कहने वाले लोगों ने ही ऐसा भविष्य बनाया
      और फिर वह कभी ठीक नहीं हुआ। लगता है हम बस और तेज़, और सस्ता करने पर ही ज़ोर देते जा रहे हैं। यूँ ही बोझ कम करते रहोगे तो जल्द ही हाथ-पैर काटने पड़ेंगे। अगर पहले के सक्षम bureaucrat या manager पहले ही चर्बी काट चुके हों, तो अगले आदमी के लिए काटने को ज़्यादा कुछ नहीं बचेगा। और कुछ मात्रा में चर्बी असल में अच्छी भी होती है
    • चिंता की कोई बात नहीं। reality and time ऐसे तरीके ढूंढ लेंगे जिनसे दुनिया को अतीत के novelists की कल्पना से भी ज़्यादा बुरा बनाया जा सके। अब तो Brave New World भी भोली लगने लगी है
    • dystopia पढ़कर “यह तो भयानक है। मुझे एक न्यायप्रिय और धर्मात्मा god-king बनकर पूरी दुनिया को दबाना चाहिए, ताकि वह मेरे बेहद संकुचित नज़रिए के हिसाब से सही-गलत की रेखा पर ठीक से चलती रहे” सोचने वाले लोगों की कभी कमी नहीं होगी
      यहाँ भी बहुत लोग मानते हैं कि “technology for technology’s sake” अपने आप में अच्छी चीज़ है, या कोई भी technology अपने आप में social progress है, और progress === good
  • अगर मुझे “Apple ने पाया है कि आपकी Apple ID -xxx- से जुड़े iPhone को remotely compromise करने की कोशिश करने वाले mercenary spyware attack का निशाना बनाया जा रहा है” जैसा message मिले, तो मैं शायद इसे phishing scam का हिस्सा समझूँगा
    यह असली है, यह कोई कैसे जाने? अगर यह रोज़ मिलने वाले बाकी messages से अलग दिखता हो, तो उसे नकली मानने की संभावना और बढ़ जाती है
    बाद में देखा कि नीचे की टिप्पणियों के मुताबिक appleid.apple.com में login करने पर इसकी पुष्टि हो जाती है। इतना काफ़ी भरोसेमंद लगता है

    • Apple website के अनुसार, Apple threat alert असली है या नहीं यह जांचने के लिए appleid.apple.com में login करना चाहिए। अगर Apple ने threat alert भेजा है, तो login के बाद page के ऊपर यह साफ़ तौर पर दिखेगा
      https://support.apple.com/en-lamr/102174
    • अगर उसमें क्लिक करने के लिए कोई link नहीं है और वह आपको कहीं login करने के लिए दबाव नहीं डालता, तो वह बस एक informational message जैसा लगता है
      अगर बैंक credit card fraud के बारे में संपर्क करे और उसमें “यहाँ क्लिक करके login करें” जैसा बड़ा button हो, तो वह बहुत संदिग्ध लगेगा। इसके उलट, अगर उसमें सिर्फ़ जानकारी हो और अंत में “अधिक जानकारी के लिए अपनी नज़दीकी branch से संपर्क करें” जैसा कुछ लिखा हो, बिना किसी link या phone number के, तो वह कम संदिग्ध लगता है
    • अगर कोई phishing scam फोन पर किसी दूसरे तरीके से ऐसा message दिखाने में सफल हो गया है, तो बहुत संभव है कि वह फोन पहले से ही hacked हो, और फिर उस पर भरोसा नहीं किया जा सकता
    • अंत में यह भी लिखा है कि iCloud में login करके उसकी वैधता की पुष्टि की जा सकती है, और वहाँ notification banner दिखेगा
    • सुना है कि browser के iCloud web panel के ऊपर badge या banner के रूप में दिखता है। लगता है कि यह मिले हुए message के ऊपर भी दिखाई देता है
  • यह समझ से बाहर है कि Pegasus और NSO को अब भी अस्तित्व में रहने दिया जा रहा है। पता है कि यह एक Israeli company है, लेकिन फिर भी, क्या Israeli government ने इनके खिलाफ कभी कोई कार्रवाई की है? यह तो लगभग rogue state जैसा व्यवहार है

    • PBS Frontline की NSO Group पर एक अच्छी documentary है। इन्हें government approval मिला हुआ है, और यहाँ तक कि political leverage के रूप में भी इस्तेमाल किया जाता है: https://m.youtube.com/watch?v=6ZVj1_SE4Mo
    • Pegasus और NSO अब भी allowed हैं क्योंकि जिनके पास इन्हें ban करने की शक्ति है, वही इनके सबसे बड़े ग्राहक हैं
    • ऐसी बहुत-सी कंपनियाँ हैं, बस वे जानी नहीं जातीं। मुझे नहीं लगता कि यह स्थिति विशेष रूप से Israel से बहुत जुड़ी हुई है
    • क्या आप यह मानकर चल रहे हैं कि Israeli government इनके काम को मंज़ूरी नहीं देती?
  • Android उपयोगकर्ताओं के लिए स्थिति Google के सार्वजनिक न करने के बावजूद कहीं ज़्यादा गंभीर हो सकती है
    यह देखकर मैं Apple पर स्विच करने पर गंभीरता से विचार कर रहा हूँ। इसलिए नहीं कि Apple सुरक्षित है, बल्कि इसलिए कि इसमें यूज़र को बताने की इच्छा तो है

    • विडंबना यह है कि यह और भी बुरा हो सकता है। iMessage ऐसे exploits के 60% से अधिक मामलों में एक मुख्य चरण होने की संभावना है, और कई Unicode/PDF rendering engines भी बहुत से हमलों की वजह बनते हैं
      Android का open source स्वभाव यह संभावना बढ़ाता है कि ऐसी चीज़ें पहले security researchers को मिल जाएँ। यह भी नहीं भूलना चाहिए कि Zerodium अब भी iOS 0-day की तुलना में Android 0-day के लिए ज़्यादा पैसे देता है
      ऊपर से Samsung, Google, Moto, Huawei आदि डिवाइसों में फ़र्क बहुत बड़ा है, इसलिए एक single exploit का सफल होना कम से कम तीन गुना मुश्किल है
    • पंक्तियों के बीच पढ़ें तो लगता है कि Apple के पास संक्रमण के बाद सभी Apple डिवाइसों में root cause को दोबारा पहचानने की क्षमता हो सकती है, बस वह इसे सार्वजनिक रूप से नहीं कह रहा
      मतलब, जब संक्रमण आखिरकार पकड़ा जाता है, तो Apple vulnerability के entry point को अलग कर सकता है, और फिर सभी डिवाइसों को दोबारा scan करके उन डिवाइसों का पता लगा सकता है जो उसी हमले का निशाना बने हो सकते हैं
      सामूहिक दृष्टिकोण से, fingerprint का काम कर सकने वाले data को hash करना समझदारी लगती है। चरम स्थिति में यह iMessage प्राप्त होने के बाद का call stack जैसी साधारण चीज़ भी हो सकती है
    • “Android उपयोगकर्ताओं के लिए स्थिति कहीं ज़्यादा गंभीर हो सकती है” — इसके लिए आधार चाहिए
    • Google यह काम बहुत पहले से करता आया है। मुझे 2010 के आसपास ऐसा email मिला था
    • क्या Android उपयोगकर्ताओं के लिए सामान्य रूप से स्थिति कहीं ज़्यादा गंभीर है? हो सकता है। लेकिन आजकल Google Pixel security के मामले में Apple जैसा है, और कुछ लोग उसे उससे भी ज़्यादा सुरक्षित मानते हैं। जैसा दूसरों ने कहा, Google भी पहले ऐसे ही alerts भेज चुका है
      और Samsung, Motorola जैसे दूसरे निर्माताओं के फ़ोनों तक Google की निगरानी करने और सूचित करने की ज़िम्मेदारी है, ऐसा मैं नहीं मानता
  • “NSO Group के Pegasus जैसे mercenary spyware attacks बेहद दुर्लभ होते हैं, और सामान्य cybercrime या consumer malware से कहीं ज़्यादा sophisticated होते हैं”
    अगर ऐसा है, तो Apple warning ट्रिगर करवाना भी किसी sophisticated operation का हिस्सा हो सकता है
    ऐसे targets किसी न किसी खास तरीके से react करते हैं, या करने पर मजबूर होते हैं। छिपे हुए व्यक्ति को बाहर लाना, और सिर्फ़ उसके व्यवहार को देखने के लिए भी उसे प्रतिक्रिया देने पर मजबूर किया जा सकता है
    फिर वे targets क्या करेंगे? फ़ोन बदलेंगे? किसी खास digital service में लॉग इन करेंगे? सामान्य communication channels से अपने network को चेतावनी देंगे? देखने वाले की नज़र से यह काफ़ी दिलचस्प है

    • Apple अपनी website पर यह सलाह देता है कि मार्गदर्शन के लिए कहाँ संपर्क करना चाहिए, और बेशक ऐसी सलाह देने वाला सिर्फ़ Apple ही नहीं है
      Apple: “अगर आपको Apple threat notification मिला है, तो हम ज़ोर देकर सलाह देते हैं कि आप विशेषज्ञ सहायता लें, जैसे Access Now की non-profit Digital Security Helpline द्वारा दी जाने वाली rapid-response emergency security support। Apple threat notification पाने वाले लोग website के माध्यम से Digital Security Helpline से 24/7 संपर्क कर सकते हैं। बाहरी संस्थाओं के पास इस बात की जानकारी नहीं होती कि Apple ने threat notification क्यों भेजा, लेकिन वे targeted users के लिए tailored security advice देने में मदद कर सकती हैं।”
      https://support.apple.com/en-lamr/102174
      Amnesty International: “Access Now Helpline और Security Lab के अन्य civil society partners भी Apple notification पाने वाले व्यक्तियों की सहायता के लिए तैयार हैं।”
      https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
    • फ़ोन बदलेंगे? अगर 130 डॉलर वाला Motorola बेहतर security दे सकता है, तो हाँ
      2018 में FBI द्वारा iPhone तोड़े जाने के बाद भी कोई iPhone में राज़ रखता है, यह हैरानी की बात है
  • अगर आप जानना चाहते हैं कि असली संदेश कैसा दिखता है, तो एक Reddit उपयोगकर्ता ने 2023 के पुराने version के साथ उसे पोस्ट किया है। उसमें पूरा संदेश शामिल नहीं है: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...

    • लगता है कि संदेश यूज़र को “नवीनतम software version iOS 16.6 में update” करने की सलाह देता है। मैं सोच रहा हूँ कि iPhone 7, 7 Plus, SE जैसे उन डिवाइसों के उपयोगकर्ताओं को, जिन्हें iOS 15 से आगे update नहीं किया जा सकता, क्या अलग संदेश भेजा जाता है
  • क्या यह spyware Apple products में engineering flaws की वजह से संभव है?

    • तकनीकी रूप से देखें तो हाँ
      लेकिन ऐसा कोई अर्थपूर्ण software कभी नहीं रहा जिसमें इस तरह की flaws बिल्कुल न हों। दूसरे शब्दों में, इस तरह के attack के मामले में iOS शायद ज़्यादातर दूसरे platforms से बेहतर है
    • NSO Group के बारे में Darknet Diaries podcast सुनना अच्छा रहेगा। NSO Group iPhone पर इस्तेमाल लायक zero-day रखने वाले hackers को 100,000 डॉलर से ज़्यादा दे सकता है
      https://darknetdiaries.com/episode/100/
    • अब तक लगभग हर computer virus, worm वगैरह software products की engineering flaws की वजह से ही संभव हुए हैं। दुनिया में बना हर software, जिसमें वह भी शामिल है जिसका आप अभी इस्तेमाल कर रहे हैं, bugs रखता है
    • हाँ, ऐसा ही है। हर platform में bugs और zero-day होते हैं
  • यह तो लगभग हर देश पर लागू होना चाहिए, इसलिए यह दिलचस्प है कि notifications सिर्फ़ 92 देशों में गए

    • क्या कुछ देशों में यूज़र्स को इस तरह सूचित करना ग़ैरक़ानूनी हो सकता है? मेरा मानना है कि कुछ देशों में किसी व्यक्ति को यह बताना कि वह सरकार का target बना है, ग़ैरक़ानूनी हो सकता है
  • कौन से 92 देश हैं, यह बताया नहीं गया है

    • मुझे अजीब लगा कि end-user message में उस संख्या का ज़िक्र करने की ज़रूरत ही क्यों पड़ी। पिछले साल के संदेश से तुलना करें तो यह थोड़ा editorial टिप्पणी जैसा लगता है