Mike Waltz ने गलती से वह ऐप दिखा दिया जिसका इस्तेमाल सरकार Signal संदेशों को archive करने के लिए करती है
(404media.co)- Trump प्रशासन के अधिकारी Mike Waltz के फोन की तस्वीर में संदेश archive करने के लिए इस्तेमाल होने वाले अनौपचारिक Signal जैसा ऐप इस्तेमाल होता दिखा
- Waltz गुरुवार तक अमेरिकी National Security Advisor थे, और इस पर सवाल बढ़ रहे हैं कि सरकारी अधिकारी Signal पर किस स्तर की जानकारी पर चर्चा करते हैं
- Reuters की तस्वीर में Donald Trump की अध्यक्षता में हुई White House cabinet meeting के दौरान Waltz को अपना फोन देखते हुए दिखाया गया है
- स्क्रीन पर JD Vance, Tulsi Gabbard, Marco Rubio जैसे वरिष्ठ सरकारी अधिकारियों के संदेश दिखते प्रतीत होते हैं
- स्क्रीन के निचले हिस्से में सामान्य Signal के PIN verification message जैसा टेक्स्ट दिखता है, जिससे account takeover रोकथाम और message archiving के तरीके दोनों पर ध्यान गया है
तस्वीर से सामने आया अनौपचारिक Signal इस्तेमाल
- Mike Waltz के फोन की तस्वीर में Signal के अनौपचारिक version जैसा ऐप इस्तेमाल होता हुआ पकड़ा गया
- यह version message archiving के उद्देश्य से बनाया गया ऐप बताया जाता है
- Waltz गुरुवार तक अमेरिका के National Security Advisor थे
Reuters तस्वीर का संदर्भ
- Reuters द्वारा जारी तस्वीर में Donald Trump द्वारा White House में आयोजित cabinet meeting के दौरान Waltz को अपना फोन देखते हुए दिखाया गया है
- स्क्रीन पर कई वरिष्ठ सरकारी अधिकारियों के संदेश दिखते हैं
- JD Vance
- Tulsi Gabbard
- Marco Rubio
Signal PIN message और security संदर्भ
- Waltz के फोन की स्क्रीन के निचले हिस्से में सामान्य Signal के PIN verification message जैसा टेक्स्ट है
- Signal का PIN verification message तब दिख सकता है जब यूज़र को अपना PIN याद रखने के लिए प्रेरित किया जाता है
- PIN का इस्तेमाल किसी दूसरे व्यक्ति द्वारा account takeover रोकने में किया जा सकता है
बाकी बचे व्यावहारिक सवाल
- अगर Signal का अनौपचारिक version message archiving के लिए इस्तेमाल हो रहा है, तो मुख्य मुद्दा यह बनता है कि सरकारी अधिकारी इस ऐप में किस स्तर की जानकारी पर चर्चा करते हैं
- archive किए गए डेटा को कैसे securely handle किया जाता है, यह भी एक ऐसा पहलू है जिसकी पुष्टि जरूरी बनी हुई है
1 टिप्पणियां
Hacker News की रायें
https://archive.ph/oXYXe
सरकारी एजेंसियां पहले भी आर्काइविंग फीचर वाले encrypted messenger के वर्जन के लिए पैसे दे चुकी हैं। 2021 में CBP ने Wickr को 7 लाख डॉलर चुकाए थे
यह Signal को सपोर्ट करने के लिए बिल्कुल सही use case जैसा लगता है। बड़ी कंपनियां या सरकारी एजेंसियां सीधे ऐप डेवलपर को custom fork के लिए भुगतान कर सकती हैं, फिर TeleMessage को पैसे क्यों मिलते हैं, समझ नहीं आता। क्या Signal Foundation paid fork लागू करना आसान नहीं बनाता?
“TM SGNL” शायद TeleMessage नाम की कंपनी के software की ओर इशारा करता है। यह कंपनी popular messenger apps की clones बनाती है और हर ऐप में archiving feature जोड़ती है
Signal इस्तेमाल करते हुए अगर किसी विदेशी कंपनी को communications intercept करने देना है, तो इसका मतलब ही क्या रह जाता है, समझ नहीं आता। शायद वे government-approved app के भद्दे user experience के बजाय commercial product का UX चाहते थे, लेकिन किसी को पता है विकल्प क्या था?
Signal सरकारी उपयोग के लिए approved है, लेकिन non-public Department of Defense information के लिए नहीं। “SCIF में आओ, वहां details पर बात करते हैं” जैसे संदेशों के लिए Signal इस्तेमाल करना चाहिए, और details secure environment में discuss होनी चाहिए
CISA ने इसके बजाय end-to-end encrypted services इस्तेमाल करने की सलाह दी, और खास तौर पर Signal का नाम लिया
https://investigations.cooley.com/2025/01/15/federal-law-enf...
Signal भी आखिर phone पर बस एक app ही है। अगर उसे secret communications के लिए इस्तेमाल करना है, तो उस phone पर software न्यूनतम रखना चाहिए या बिल्कुल नहीं रखना चाहिए, और password, encryption आदि हर संभव तरीके से उसे protect करना चाहिए
archive करने के लिए security vulnerability झेलने की जरूरत है भी क्या? वैसे भी Israel और Pegasus से कहेंगे तो archive copy मिल ही जाएगी
कुछ details देखें तो TeleMessage एक Israeli कंपनी थी, या अब भी वैसी ही कंपनी थी [1], लेकिन पिछले साल इसे अमेरिकी कंपनी Smarsh [2] ने acquire कर लिया, और Smarsh खुद भी अमेरिकी कंपनी K1 Investment Management की subsidiary है। पता नहीं कंपनी कहीं shift हुई है या नहीं।
शायद सीधे संबंधित न हो, लेकिन terms of service में China के भीतर messaging को लेकर अलग clause भी दिखता है और लगता है इसमें Chinese government को disclosure शामिल है। ऐप कैसे काम करता है, यह unclear है। इसे Signal client के fork की तरह advertise किया जाता है और लगता है कि यह सारी चीजें remote server पर upload करता है; ऐसा है तो जब तक archive को एक receiving endpoint मानकर उस connection को सुरक्षित न मान लिया जाए, स्वाभाविक रूप से end-to-end encryption टूट जाती है। लगता है interface भी Signal जैसा ही बताया जा रहा है।
लेकिन iOS और Android Signal clients दोनों AGPLv3 हैं। मुझे ऐसा कोई संकेत नहीं मिला कि TeleMessage client proprietary software नहीं है। तो क्या AGPLv3 के तहत वे सिर्फ paid customers को software और source code देते हैं, और customers उसे फिर redistribute कर सकते हैं? क्या उन्होंने client को पूरी तरह reimplement किया है? या यह गैरकानूनी proprietary fork है? पहला विकल्प कम संभावित लगता है, और बाद वाले दोनों ऐप security के लिहाज से काफी अशुभ संकेत हैं।
[1]: https://en.wikipedia.org/wiki/TeleMessage
[2]: https://en.wikipedia.org/wiki/Smarsh
कम से कम GPLv2 के बारे में अक्सर corporate-friendly तरह से समझाया जाता था कि “private” modifications private ही रहते हैं और employees को external distribution नहीं माना जाता। AGPL के बारे में मुझे ठीक से नहीं पता।
पहले मैं एक ऐसी company में काम करता था जो GPL software इस्तेमाल करने वाले customized software solutions military-related customers, शायद DOD की ओर, को बेचती थी। 10 साल से ज्यादा तक किसी ने code नहीं मांगा, फिर कुछ साल पहले किसी ने request की। शायद वे evaluate करना चाहते थे, लेकिन वह कई कामों के core में इस्तेमाल होने वाली चीज थी, इसलिए fork करना काफी मुश्किल होता। moving parts सचमुच बहुत ज्यादा थे।
जब तक कोई TM SGNL server से contact करने के बाद source मांगता नहीं और उसे मना नहीं किया जाता, तब तक यह illegal नहीं है।
असल में थोड़ी डरावनी बात यह है कि Global Relay सब कुछ SMTP से खा जाता है। मैंने check नहीं किया कि उन्होंने DNSSEC या MTA-STS set up किया है या नहीं, लेकिन Global Relay के operation के तरीके को देखते हुए नहीं लगता कि किया होगा। सही जगह लगाए गए proxy या DNS poisoning से Global Relay को भेजे जाने वाले sensitive emails का बड़ा हिस्सा खींचा जा सकता है।
ऐप यह वाला लगता है
https://www.telemessage.com/how-to-install-and-register-sign...
JD ने जो message भेजा कि “दूसरे व्यक्ति से confirm हुआ कि वह बंद हो गया है”, उसका मतलब क्या है, यह सच में जानना चाहूंगा।
रुकिए, क्या ये लोग Israeli intelligence officers द्वारा चलाया जाने वाला Signal clone app इस्तेमाल कर रहे हैं?
लगता है यह हिस्सा अभी ठीक से सामने नहीं आया है। उस company का address Google Maps पर खोजें तो वास्तव में “Cyberint” नाम की company निकलती है, जो बहुत खराब संकेत लगता है।
https://maps.app.goo.gl/L7vVHw5x4VdgS8859?g_st=com.google.ma...
इससे भी खराब बात यह है कि company website के team intro को देखें तो CEO समेत ऐसे लोगों से भरा है जो “former” Israeli intelligence officers लगते हैं।
https://www.telemessage.com/team/
यह अब तक ज्ञात कहानी से कहीं बड़ा मामला लगता है। मूल Signalgate से कई orders of magnitude बड़ा। यहां implication यह है कि Israeli intelligence officers के पास शायद इस समय दुनिया की सबसे अच्छी access रही हो: यानी उन सभी conversations की real-time feed जिनमें US National Security Advisor शामिल हैं।