अनिवार्य इंस्टॉल किए जाने वाले “K-security” ऐप्स की समीक्षा पर शोधपत्र

अगर आप पहले से यहाँ आते रहे हैं, तो हो सकता है आपने 2023 की शुरुआत में यहाँ पोस्ट किया गया Wladimir Palant का K-security परिचय लेख पढ़ा हो।

• कोरिया की ऑनलाइन सुरक्षा व्यवस्था की बंद गली
• उस लेख शृंखला का अनौपचारिक कोरियाई अनुवाद

इसी संदर्भ में, हाल ही में कोरिया के सुरक्षा अकादमिक जगत ने ऊपर की बातों को पूरक करने वाला एक शोधपत्र और mock hacking demonstration videos जारी किए हैं।
कहा जा रहा है कि यह सामग्री इस अगस्त अमेरिका के Seattle में होने वाले 34th USENIX Security Symposium में प्रस्तुत की जाएगी।

• Too Much of a Good Thing: (In-)Security of Mandatory Security Software for Financial Services in South Korea

• ऊपर के शोधपत्र पर KAIST की प्रेस विज्ञप्ति

• K-security ऐप्स का दुरुपयोग कर उपयोगकर्ता के keyboard input को intercept करके password चुराने वाला PoC वीडियो

• K-security ऐप्स का दुरुपयोग कर किसी खास site पर जाने वाले उपयोगकर्ता के PC में malware डालने वाला PoC वीडियो

• ऊपर के शोधपत्र की सामग्री पर ZDNet Korea की रिपोर्ट

• ऊपर के शोधपत्र की सामग्री समझाने वाला white hacker Normaltic का वीडियो

इस शोधपत्र में K-security apps (Korea Security Applications) को संक्षेप में “KSA” कहा गया है, और ActiveX आधारित दौर को v1.0 तथा 2015 के बाद exe आधारित रूप में बदले दौर को v2.0 कहा गया है।

मूल रूप से, ऐसे “security programs” को उपयोगकर्ता के PC पर जबरन इंस्टॉल कराने वाली संरचना खुद ही सुरक्षा के लिहाज़ से कमज़ोर है—यह निष्कर्ष, और इसके बावजूद संरचनात्मक समस्याओं के कारण इसे एक झटके में हटाना आसान नहीं है जैसी समस्या-उठान, Wladimir Palant की शृंखला से बहुत अलग नहीं है।

अगर कुछ अलग बिंदु गिनें, तो पहले Wladimir Palant के लेखों में banking के समय इंस्टॉल होने वाले ऐप्स पर नज़र थी, लेकिन इस शोधपत्र में विश्लेषण का दायरा उन ऐप्स तक भी बढ़ाया गया है जिन्हें कुछ public institutions से जुड़े काम देखने के लिए अनिवार्य रूप से इंस्टॉल करना पड़ता है। शोधपत्र में कुल 7 ऐप्स देखे गए। वैसे भी K-security ऐप्स की किस्में अक्सर लगभग एक जैसी ही होती हैं, इसलिए कंपनी और उत्पाद नाम छिपाए गए हैं, लेकिन जो लोग पहचान सकते हैं वे शायद मोटे तौर पर अंदाज़ा लगा लें कि कौन से हैं। खैर, लगता है इन्होंने तरह-तरह की vulnerabilities ढूँढ़कर keylogging भी किया, remote code execution भी आज़माया, fuzzing से memory vulnerabilities भी खोजीं, और man-in-the-middle attacks भी करके बहुत कुछ परखा।

एक और ध्यान खींचने वाली बात यह है कि इन्होंने उपयोगकर्ताओं पर एक ऑनलाइन सर्वे किया। इस सर्वे से पता चला कि कोरिया के ऑनलाइन माहौल में ऐसे लोग लगभग नहीं के बराबर हैं जिन्होंने K-security ऐप्स का अनुभव न किया हो, लेकिन इन्हें इंस्टॉल करने वाले लगभग 60% उपयोगकर्ता यह भी ठीक से नहीं जानते कि ये ऐप्स आखिर करते क्या हैं, और बस इन्हें इंस्टॉल कर देते हैं।

इससे एक कदम आगे बढ़कर, इन्होंने volunteers भर्ती किए और HoaxEliminator v7.25 के माध्यम से यह भी जाँचा कि मुख्यतः 20s के युवाओं द्वारा इस्तेमाल किए जाने वाले PCs में वास्तव में कितने K-security ऐप्स इंस्टॉल हैं। नतीजा यह रहा कि औसतन लगभग 9 K-security ऐप्स इंस्टॉल थे, और उनमें से करीब 4 इस शोध के दायरे में आने वाले ऐप्स थे। एक volunteer के PC में तो 24 तक पाए गए। आधे से अधिक volunteers में इंस्टॉल किए गए ऐप्स 2 साल से ज़्यादा पुराने versions के थे, और किसी volunteer के PC में तो शोध के समय से 5 साल पुराने versions वाले ऐप्स भी मिले।

कम से कम यह बहुत आभारी होने वाली बात है कि Tablecloth Project या HoaxEliminator जैसे उपयोगी tools सार्वजनिक करने वाले लोग मौजूद हैं, लेकिन मूल रूप से आदर्श स्थिति तो यही होगी कि ऐसे tools की ज़रूरत ही न पड़े।

Wladimir Palant की K-security ऐप विश्लेषण शृंखला 2023 की शुरुआत में प्रकाशित हुई थी, और उसके बाद यह भी सामने आया कि North Korea ने ऐसे K-security ऐप्स को रास्ता बनाकर hacking की, लेकिन हकीकत यह है कि अब तक कोई बुनियादी बदलाव महसूस नहीं होता। उम्मीद है कि अब से ही सही, कुछ ठोस बदलाव दिखाई दें।