- ईरान के सरकारी TV ने मंगलवार दोपहर नागरिकों से अपने स्मार्टफोन से WhatsApp हटाने की अपील की, यह दावा करते हुए कि ऐप यूज़र की जानकारी इकट्ठा कर इज़राइल को भेजता है, लेकिन कोई ठोस सबूत पेश नहीं किया
- WhatsApp ने इसे झूठी रिपोर्टिंग बताते हुए खंडन किया और चिंता जताई कि इसे ऐसे समय में सेवा ब्लॉक करने के बहाने के रूप में इस्तेमाल किया जा सकता है जब लोगों को इसकी सबसे ज़्यादा ज़रूरत होती है
- सेवा end-to-end encryption का उपयोग करती है, जिससे बीच का provider संदेश नहीं पढ़ सकता; WhatsApp ने कहा कि वह सटीक लोकेशन ट्रैक नहीं करता, बातचीत के संपर्कों के लॉग नहीं रखता, निजी संदेशों को ट्रैक नहीं करता और सरकारों को बड़े पैमाने पर जानकारी उपलब्ध नहीं कराता
- Cornell University के cybersecurity विशेषज्ञ Gregory Falco का मानना है कि यह साबित हो चुका है कि encryption से बाहर रहने वाले metadata से भी ऐप के उपयोग के तरीके के बारे में जानकारी निकाली जा सकती है
- ईरान कई social media platforms को ब्लॉक करता रहा है, लेकिन कई यूज़र proxy और VPN से bypass कर के एक्सेस करते रहे; WhatsApp और Google Play को 2022 में प्रतिबंधित किया गया था और पिछले साल के अंत में प्रतिबंध हटाया गया
सरकारी TV की हटाने की अपील और सबूतों की कमी
- ईरान के सरकारी TV ने मंगलवार दोपहर नागरिकों से अपने स्मार्टफोन से WhatsApp हटाने की अपील की
- वजह के तौर पर उसने दावा किया कि WhatsApp यूज़र की जानकारी इकट्ठा कर इज़राइल को भेजता है, लेकिन इसके समर्थन में कोई ठोस सबूत पेश नहीं किया
WhatsApp का खंडन और encryption संरचना
- WhatsApp ने इस रिपोर्ट को झूठी रिपोर्टिंग बताया और चिंता जताई कि यह ऐसे समय में सेवा ब्लॉक करने का बहाना बन सकती है जब लोगों को इसकी सबसे ज़्यादा ज़रूरत है
- सेवा end-to-end encryption का उपयोग करती है
- बीच में मौजूद service provider संदेश नहीं पढ़ सकता
- संदेशों को इस तरह scramble किया जाता है कि वे केवल भेजने वाले और प्राप्त करने वाले को दिखें; कोई third party intercept भी करे तो key के बिना उसे केवल अपठनीय सामग्री दिखती है
- WhatsApp ने अपने data handling तरीके के बारे में यह कहा
- यूज़र की सटीक लोकेशन ट्रैक नहीं करता
- कौन किसे संदेश भेज रहा है, इसका लॉग नहीं रखता
- लोग एक-दूसरे को जो निजी संदेश भेजते हैं, उन्हें ट्रैक नहीं करता
- किसी भी सरकार को बड़े पैमाने पर जानकारी उपलब्ध नहीं कराता
encryption के बाहर बचा metadata
- Cornell University में engineering के assistant professor और cybersecurity विशेषज्ञ Gregory Falco ने कहा कि यह समझना संभव साबित हुआ है कि WhatsApp में कौन सा metadata encrypted नहीं होता
- ऐसे metadata से यह जानकारी निकाली जा सकती है कि लोग ऐप का उपयोग कैसे करते हैं, और उनके मुताबिक इसी वजह से कुछ यूज़र WhatsApp इस्तेमाल करने से हिचकते रहे हैं
data sovereignty और infrastructure की लोकेशन
- Falco ने एक और मुद्दे के रूप में data sovereignty की ओर इशारा किया
- किसी खास देश के WhatsApp data को host करने वाला data center ज़रूरी नहीं कि उसी देश के भीतर हो
- उदाहरण के लिए, उन्होंने कहा कि इस बात की काफी संभावना है कि ईरान का WhatsApp data ईरान के भीतर host न हो
- उनका मानना है कि देशों को अपना data अपने देश के भीतर रखना चाहिए और उसे अपने ही algorithms से देश के भीतर process करना चाहिए
- उन्होंने यह भी जोड़ा कि दुनिया भर के data infrastructure network पर भरोसा करना लगातार कठिन होता जा रहा है
Meta के स्वामित्व वाली सेवा और ईरान का blocking इतिहास
- WhatsApp, Facebook और Instagram की parent company Meta Platforms के स्वामित्व में है
- ईरान ने वर्षों से कई social media platforms तक access ब्लॉक किया है, लेकिन कई यूज़र proxy और VPN के जरिए access करते रहे हैं
- 2022 में, morality police की हिरासत में रही एक महिला की मौत को लेकर हुए बड़े सरकार-विरोधी प्रदर्शनों के दौरान WhatsApp और Google Play पर प्रतिबंध लगाया गया
- वह प्रतिबंध पिछले साल के अंत में हटाया गया
- WhatsApp, Instagram और Telegram के साथ ईरान में सबसे लोकप्रिय messaging apps में से एक था
1 टिप्पणियां
Hacker News की रायें
Meta के बयान में शब्दों का चुनाव सबसे दिलचस्प है
उन्होंने कहा, “हम users की सटीक location track नहीं करते, हर व्यक्ति किससे message करता है इसका log नहीं रखते, और लोग एक-दूसरे को जो private messages भेजते हैं उन्हें track नहीं करते,” और जोड़ा कि वे “किसी भी सरकार को बड़े पैमाने पर जानकारी नहीं देते”
कौन-सी सरकारों के पास किस तरह की access थी, वह warrant-based थी या नहीं, कौन-से देश थे, और असली terrorists और journalists पर crackdown के बीच रेखा कहां थी—यह ठीक-ठीक नहीं जानता
लेकिन bulk export निश्चित रूप से मौजूद था, और इस बारे में झूठ बोलना मुझे सबसे बुरा मान लेने पर मजबूर करता है
सामान्य सेवा देने की प्रक्रिया में WhatsApp delivered messages या delivered messages के transaction logs store नहीं करता, और undelivered messages 30 दिन बाद servers से delete कर दिए जाते हैं
लेकिन अगर वे अच्छे विश्वास में मानते हैं कि user safety, illegal activity का पता लगाने/जांच/रोकथाम, legal process या government requests का जवाब देने, और terms/policies enforce करने के लिए जरूरी है, तो वे user information collect, use, preserve और share कर सकते हैं; इसमें कुछ users सेवा पर दूसरे users के साथ कैसे interact करते हैं, उससे जुड़ी जानकारी शामिल हो सकती है
यह wording इस दावे से टकराती है कि वे लोग एक-दूसरे को किससे message करते हैं इसका log नहीं रखते
उलटे, यह मानना ज्यादा plausible है कि वे हर चीज़ को high precision से track कर रहे हैं और messages पर भी man-in-the-middle attack (MITM) कर रहे हैं। खासकर अब जब वे ads भी डाल रहे हैं
“हम हर व्यक्ति किससे message करता है इसका log नहीं रखते…”
“हम हर व्यक्ति किससे message करता है इसका log नहीं रखते…”
“हम हर व्यक्ति किससे message करता है इसका log नहीं रखते…” वगैरह
WhatsApp द्वारा end-to-end encrypted chats पर man-in-the-middle attack करने जैसी कमजोर आधार वाली अटकलें बहुत हैं, लेकिन सरकार के access करने की सबसे संभावित राह पहले से publicly visible जगह पर है
WhatsApp users को chats iCloud या Google Drive पर backup करने के लिए जोरदार तरीके से push करता है। ये backups default रूप से encrypted नहीं होते, या कम से कम ऐसे key से encrypted होते हैं जिसे Meta जानता है, और ज्यादातर users defaults ही रहने देते हैं
iMessage भी बिल्कुल ऐसा ही है। अगर “iCloud Backup” और “iMessage in the cloud” on हैं, तो जब तक “Advanced Data Protection” भी on न हो, received messages Apple-accessible keys के साथ Apple पर upload होते हैं। और यह भी default नहीं है
Users default से हट सकते हैं, लेकिन conversation सच में private हो, इसके लिए दोनों पक्षों को ऐसा करना होगा। अगर इतनी motivation है, तो पहले से ही Signal इस्तेमाल कर लें
बात समझ में आती है। लगता है Israel ने Gaza में Palestinians को target करने के लिए WhatsApp metadata इस्तेमाल किया: https://www.972mag.com/lavender-ai-israeli-army-gaza/
quoted content के मुताबिक solution artificial intelligence है, और किताब में Lavender जैसी “target machine” बनाने की छोटी guide है, जो artificial intelligence और machine learning algorithms पर आधारित है
किसी व्यक्ति का score बढ़ा सकने वाली “सैकड़ों-हजारों” features के उदाहरणों में known militants के साथ उसी WhatsApp group में होना, हर कुछ महीनों में mobile phone बदलना, और address बार-बार बदलना शामिल हैं
Israel को WhatsApp installed होने की जरूरत भी नहीं है
IDF की Unit 8200[1] Iran के ज्यादातर phones hack कर सकती होगी, और अगर नहीं, तो NSO Group जैसी private spyware companies[2][3] हैं
[1] https://en.wikipedia.org/wiki/Unit_8200
[2] https://en.wikipedia.org/wiki/NSO_Group
[3] https://mepc.org/commentaries/israeli-cyber-companies-overvi...
OMA DM, FOTA updates/access, और कुछ US carriers द्वारा remote access के लिए phones या modems में पहले से install किए गए binaries आदि को मैंने reverse engineer किया है, इसलिए इनके बारे में जानता हूं
फिर भी target country के mobile network operators के लिए इसे invisible बनाया जा सकता है, यह बात आसानी से हजम नहीं होती
“संयोग से” exile में रह रहे legitimate crown prince, यानी Pahlavi dynasty के व्यक्ति, social media पर वापस आकर कह रहे हैं कि मौजूदा Iranian regime गिरने वाला है
Online इस बात पर काफी चर्चा है कि मौजूदा regime कैसे ढह रहा है, और बहुत से लोग खुश होंगे अगर Sharia law से शासन करने वाले वे दाढ़ी वाले लोग गायब हो जाएं
उस Islamic state के शीर्ष पर बैठे religious fanatics जो सबसे कम चाहते हैं, वह यह है कि Iranians खुद इस मौके का इस्तेमाल करके regime पलट दें
“अगर आप Israel को आपकी location ढूंढने में मदद नहीं करना चाहते, तो WhatsApp delete करें” का असली मतलब ज्यादा करीब है “crown prince का वह video share न करें जिसमें वह Sharia punishments के बिना जीवन देने की घोषणा कर रहा है”
यह मानने की वजहें हैं कि कई पश्चिमी apps में backdoor होते हैं, और Iran जैसे देशों के लिए app stores के जरिए खास backdoor भी दिए जा सकते हैं।
कार टेक्नोलॉजी और कैमरों पर भी यही बात लागू होती है। अगर आप किसी intelligence agency में काम करते हैं, तो ये सचमुच सपनों जैसा tool है, क्योंकि इससे सड़क पर real-time surveillance संभव हो जाती है, जो पहले बेहद मुश्किल था।
पता नहीं कितनी बार किसी मीलों दूर की सड़क या घर की हाल की तस्वीर चाहिए होती थी। 360-degree vehicle camera हो तो आप लोगों को track कर सकते हैं और कुछ मिनट पहले हुए बदलाव तक देख सकते हैं।
समझ नहीं आता कि ऐसे देश इन features को block क्यों नहीं करते या इन्हें पूरी तरह बंद रखना अनिवार्य क्यों नहीं बनाते।
मेरी intuition और practical experience दोनों कहते हैं कि यह कुछ हद तक सच है, लेकिन उत्सुकता है कि लोग conspiracy theory और जायज अनुमान में फर्क कैसे करते हैं।
यह हैरानी की बात है कि Iranian regime की चिंता इस बात पर केंद्रित है कि WhatsApp Israel के साथ जानकारी share करता है। WhatsApp के actively share करने के बजाय, कहीं ज्यादा संभावना यह है कि Mossad जानकारी हासिल करने के लिए WhatsApp की zero-day vulnerability इस्तेमाल कर रहा हो।
कोई दूसरा mechanism भी हो सकता है। जैसे Google Drive या किसी और तरह का malware।
2011 में Snowden disclosures के बाद की दुनिया में, जहां NSA और CIA hardware और firmware से लेकर हर जगह bugs लगाते हैं, पक्के तौर पर कहना मुश्किल है।
Iran का दावा सच है या नहीं, पता नहीं, लेकिन सच कहूं तो ये apps असल में क्या record करते हैं, इसे लेकर मुझे हमेशा बेचैनी रही है। end-to-end encryption शानदार है, लेकिन metadata को protect नहीं करता।
असली समस्या यह है कि हम अब भी अंदाजा ही लगा रहे हैं। क्या इस मुद्दे पर सचमुच confidence के साथ बोल सकने वाला कोई है?
WhatsApp में “end-to-end encryption” होने का प्रचार सच हो सकता है, लेकिन इसका मतलब यह भी है कि वे privacy और consumer-friendliness के लिए किए जा सकने वाले बाकी अच्छे काम नहीं कर रहे।
क्या Iran के अंदर मौजूद कोई व्यक्ति इस बारे में बता सकता है? स्थानीय नागरिक WhatsApp को कैसे देखते हैं?
ये कई सालों से block थे, और WhatsApp कुछ महीने पहले unblock हुआ था, लेकिन Israeli attack के बाद फिर block कर दिया गया।
मुझे नहीं लगता कि बहुत से Iranians regime की बातों पर विश्वास करते हैं या उनकी परवाह करते हैं। हालांकि regime supporters का छोटा सा हिस्सा मान सकता है, लेकिन शायद वे पहले से ही WhatsApp इस्तेमाल नहीं करते थे।
फिर भी लगता है कि regime खुद सचमुच इस पर विश्वास करता है। उदाहरण के लिए, खबर थी कि senior officials को अब mobile phones जैसे internet-connected electronic devices इस्तेमाल करने की अनुमति नहीं है।
प्रमुख social media और messaging platforms सभी compromised हैं और surveillance tools के रूप में इस्तेमाल होते हैं, इसलिए Iranian government पूरी तरह गलत नहीं कह रही।
भौगोलिक हिस्सों का बड़ा भाग Afghanistan जैसा है। tribal Islamic alliances central government खोने के बाद भी अच्छी तरह टिके रहते हैं। इसके पास ऐसी विशाल, porous mountain borders भी हैं जो दो या उससे ज्यादा देशों से लगती हैं, जहां कुछ Islamic armed groups को अनदेखा किए जाने की संभावना हो सकती है।
समझ आता है कि हर कोई complete air superiority और leadership decapitation campaign को निगलना चाहता है, और यह मानना चाहता है कि WhatsApp regime को 52 virgins से अलग कर सकता है। लेकिन यह एक propaganda campaign है।
शुरुआती propaganda का काम सिर्फ इतना होता है कि नागरिकों की सहमति इतनी देर तक manufacture की जाए कि उनके पैर खून में डूब जाएं और वापस लौटना संभव न रहे। हमें बेवकूफ बनाया जा रहा है।