Apple ने उस एक्सप्लॉइट डेवलपर को चेतावनी भेजी, जिसका iPhone सरकारी स्पाइवेयर के निशाने पर था

 (techcrunch.com)
2 पॉइंट द्वारा GN⁺ 2025-10-23 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Apple ने एक एक्सप्लॉइट डेवलपर को अलर्ट भेजा कि उसका iPhone सरकारी स्पाइवेयर का टार्गेट बना था।
  • उस डेवलपर ने पहले Trenchant में iOS ज़ीरो-डे वल्नरेबिलिटी और टूल्स विकसित करने वाले विशेषज्ञ के तौर पर काम किया था।
  • पिछले कुछ महीनों में इसी तरह के स्पाइवेयर अलर्ट पाने वाले अतिरिक्त एक्सप्लॉइट/स्पाइवेयर डेवलपर भी पहचाने गए।
  • Spyware और ज़ीरो-डे अटैक टूल्स के फैलाव से विविध सुरक्षा विशेषज्ञ भी हमले के दायरे में आ रहे हैं।
  • कंपनी के अंदर हैकिंग टूल लीक के आरोप और बर्खास्तगी प्रक्रिया के ओवरलैप से संभावना उठती है कि यह मामला एक अन्यायपूर्ण बलि का बकरा (scapegoat) बनने का हो सकता है।

घटना का सारांश

  • इस साल की शुरुआत में एक हेकिंग टूल डेवलपर को अपने निजी iPhone पर संदेश मिला: “Apple ने पहचान लिया है कि आपका iPhone किसी लक्ष्यित mercenary spyware attack का निशाना है।” वह बेहद सदमे में चला गया।
  • इस व्यक्ति ने संभावित प्रतिशोध के डर से अपनी वास्तविक पहचान नहीं खोली और Jay Gibson नाम का pseudonym इस्तेमाल किया।
  • Gibson हाल ही तक Trenchant नामक कंपनी (पश्चिमी सरकारों के लिए हेकिंग टूल बनाने वाली) में iOS ज़ीरो-डे वल्नरेबिलिटी और एक्सप्लॉइट के विकास से जुड़ा था।
  • वह संबंधित उद्योग में पहला दस्तावेज़ित उदाहरण है कि स्पाइवेयर और एक्सप्लॉइट डेवलपर सीधे ऐसे हमलों का लक्ष्य बने।

घटना के बाद

  • Gibson ने कहा कि उसे “यह समझ में ही नहीं आ रहा था कि क्या हो रहा है, बस गहरा सदमा और डर महसूस हो रहा था।” उसने तुरंत फोन बंद करके अलग रखा और नया फोन खरीद लिया।
  • उसने अपने पिता को फोन करने जैसे घबराहट वाले कदम उठाए और कहा कि उस वक्त स्थिति बहुत उलझी हुई थी।
  • TechCrunch के साथ इंटरव्यू में Gibson ने कहा, “जब मामला इस स्तर तक पहुंचता है, आगे क्या होगा कोई नहीं बता सकता,” और चिंता व्यक्त की।

उद्योग में समान मामलों का उभार

  • Gibson के अलावा, पिछले कुछ महीनों में Apple से स्पाइवेयर अलर्ट पाने वाले अन्य स्पाइवेयर/एक्सप्लॉइट डेवलपर भी अतिरिक्त रूप से मौजूद पाए गए।
  • Apple ने TechCrunch की टिप्पणी/उत्तर अनुरोध का जवाब नहीं दिया।

स्पाइवेयर और ज़ीरो-डे टूल्स के फैलाव से बढ़ता नुकसान

  • Gibson का मामला दिखाता है कि ज़ीरो-डे और स्पाइवेयर टूल्स का व्यापक उपयोग कैसे हमले के लक्ष्य को विविध बना रहा है।
  • स्पाइवेयर और ज़ीरो-डे डेवलपर आम तौर पर दावा करते रहे हैं कि उनके टूल्स केवल भरोसेमंद सरकारी एजेंसियां ही अपराधियों या आतंकवादियों को निशाना बनाने के लिए इस्तेमाल करती हैं।
  • लेकिन टोरंटो यूनिवर्सिटी से जुड़े Citizen Lab, Amnesty International जैसे कई शोध समूहों ने पिछले 10 वर्षों में यह रिकॉर्ड किया है कि सरकारों ने बार-बार इन टूल्स का इस्तेमाल dissidents, journalists, human rights defenders और political rivals जैसे व्यक्तियों के खिलाफ किया।
  • पहले भी सुरक्षा शोधकर्ता हैकर समूहों के लक्ष्य बने हैं (जैसे North Korea के मामले), लेकिन स्पाइवेयर डेवलपर खुद target बने, यह अभी भी दुर्लभ है।

डेटा लीक आरोपों की जांच और आंतरिक जाँच

Apple अलर्ट के बाद

  • अलर्ट मिलने के बाद Gibson ने स्पाइवेयर अटैक फॉरेंसिक एनालिसिस में अनुभवी विशेषज्ञ से संपर्क किया।
  • पहली analysis में कोई साफ़ infection trace नहीं मिला, लेकिन विशेषज्ञ ने और अधिक सटीक फॉरेंसिक परीक्षण की सलाह दी।
  • सटीक जांच के लिए Gibson के पूरे device backup की जरूरत थी, लेकिन Gibson ने गोपनीयता और सुरक्षा चिंताओं के कारण आगे की जांच से इनकार कर दिया।
  • हाल के कुछ spyware attacks में फॉरेंसिक analysis के बावजूद भी स्पष्ट निशान न मिलने के मामले बढ़ रहे हैं।

बर्खास्तगी और आंतरिक विवाद

  • Gibson ने Apple अलर्ट के लगभग एक महीने पहले, टीम बिल्डिंग इवेंट में भाग लेने के लिए Trenchant के London ऑफिस का दौरा किया।
  • पहुंचते ही कंपनी मैनेजर से उसे dual-employment के शक में काम से हटाए जाने और सभी कंपनी डिवाइसों की जब्ती व जांच की सूचना मिली।
  • लगभग दो हफ्तों बाद Gibson को कंपनी से official termination और settlement offer दिया गया।
  • Gibson का दावा है कि कंपनी ने उसे कंपनी के हैकिंग टूल लीक केस में scapegoat बनाकर चुन लिया।
  • Gibson और तीन सहकर्मियों ने स्पष्ट किया कि वे Chrome-संबंधित ज़ीरो-डे development से जुड़े नहीं थे, और आंतरिक टीमें प्लेटफॉर्म-आधारित तरीके से अलग-अलग हैं।
  • तीन पूर्व Trenchant सहयोगियों ने स्वतंत्र रूप से यह सत्यापित किया कि Gibson की बर्खास्तगी, उसका कारण, और टीम के अंदर के शक व अफवाहें वास्तविक थीं।

संकेत और अतिरिक्त जानकारी

  • यह मामला स्पाइवेयर टेक्नोलॉजी के फैलाव का संकेतक है कि सुरक्षा उद्योग के अपने विशेषज्ञ भी सीधे attack risk में आने लगे हैं।
  • सरकारों और एजेंसियों द्वारा vulnerabilities को weaponize करने की प्रवृत्ति, आंतरिक सुरक्षा जोखिम, और डेवलपर प्रोटेक्शन जैसे कई मुद्दों पर यह नई रोशनी डालता है।
  • L3Harris (Trenchant की parent company) के प्रवक्ता ने official comment देने से इंकार किया।
  • Gibson और उसके पूर्व सहयोगी मानते हैं कि वह leak के लिए जिम्मेदार नहीं था और कंपनी का निर्णय गलत था।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-10-23
हैकर न्यूज़ टिप्पणी

  • मैंने पहले भी इस तरह की कंपनियों के साथ इंटरव्यू दिए हैं (लेख में जिसका ज़िक्र है वह कंपनी नहीं थी), और सच में ऑफर मिलने के बाद भी मैंने खुद देखा कि वे मेरे सामने ही vulnerabilities का इस्तेमाल कर रही थीं। इसलिए मुझे लगता है कि यह उसी तरह का केस है। इन vulnerabilities को सिर्फ resale के लिए develop करना किसी नैतिक तरीके से शायद संभव ही नहीं है। यदि ऐसी कंपनियाँ अपने ही स्टाफ़ पर attack tools बिना हिचकिचाहट इस्तेमाल करती हैं, तो वे संसद, न्यायपालिका, निवेश बैंक और IT leaders जैसे वास्तविक power-holders के खिलाफ भी बिना किसी रोक-टोक के इन्हें इस्तेमाल कर सकती हैं—नतीजा यह कि दुनिया के सबसे प्रभावशाली लोगों को ब्लैकमेल करने की क्षमता बन जाती है। संदर्भ में यह भी नहीं कहा गया कि इन कंपनियों की योजना विरोधी विचारधारा वाले लोग या पत्रकारों पर निशाना साधने की भी हो सकती है।

    • ऐसी कंपनियाँ सामान्यतः नैतिक values वाले लोगों को स्वाभाविक रूप से फ़िल्टर कर देती हैं, और सबसे खराब स्थिति में उन लोगों को चुनती हैं जो यह सोचते हैं कि "किसी पर चुपचाप नज़र रखी जाए"। यह सच बहुत डरावना है।

    • अगर कोई पूछे कि क्या इसे नैतिक तरीके से किया जा सकता है, तो मैं बस इतना ही कहना चाहूँगा कि CNE (Computer Network Exploitation) किसी न किसी तरीके से होती ही रहेगी, और यह human intelligence activity की तुलना में लागत व नुकसान दोनों में कम होती है। फिर भी विश्व स्तर पर इस तकनीक का dissident व्यक्तियों और journalists द्वारा दुरुपयोग एक गंभीर समस्या है। मैं स्वयं भी इस क्षेत्र में काम करना नहीं चाहता (और अब शायद वह क्षमता भी नहीं है)। लेकिन जो लोग NATO के देश के लिए इस उद्योग में काम करने को लेकर आश्वस्त हैं, उनके पास एक तर्क है: न्यायपालिका और खुफिया एजेंसियों पर मूलभूत अविश्वास रखने वाले बहुत कम हैं, और इस क्षेत्र में काम करने वाले परिवारों को भी बहुतों पर गर्व होता है। यहाँ असली पॉइंट यह है कि "हमारी राय का कोई मतलब नहीं"। इस बाज़ार की कीमतों में लगभग हर देश CNE टेक्नोलॉजी खरीद सकता है, और NATO के बाहर की कंपनियाँ भी इस मार्केट को अच्छी तरह सप्लाई कर रही हैं।

    • यह सच में हिला देने वाली बात है कि उन्होंने वास्तव में attack attempt तक कर लिया। जानना चाहता हूँ कि हमला कैसे हुआ—क्या SMS में लिंक भेजा गया था या कोई और तरीका था।

    • शायद यह केवल इंटरव्यू का ही एक चरण हो सकता है।

    • यही कारण है कि मैं साइबर सुरक्षा उद्योग में काम नहीं करना चाहता। बहुत high-risk सेक्टर है—सच में एकदम lawless zone जैसा।

  • लेख में लिखा था कि शायद Gibson, जिसने vulnerabilities और spyware सीधे develop किए, वह पहला documented केस हो सकता है जिसने खुद spyware attack झेला; लेकिन पिछले कुछ महीनों में Gibson के अलावा भी अन्य spyware और vulnerability developers पर attacks देखने को मिले हैं।

  • मुझे Gibson और उसके पूर्व नियोक्ता के बीच के ड्रामा से ज्यादा Apple का यह निर्णय लेने का तरीका अधिक रुचिकर लगा।

    • संभव है कि पूर्व कंपनी ने WiFi sandbox या Stingray-टाइप डिवाइस इस्तेमाल किए हों, लेकिन Apple में इस ट्रैफिक को iMessage/PushNotification के official चैनल से होते हुए पहचान लिया गया।

  • "मैं panic में था" Gibson के quote पर मुझे हँसी आई—कहीं उसका वास्तविक नाम Jay Gibson हो और रिपोर्टर उसे न पहचान पाया हो, ऐसा सोचा।

  • "Apple notifies exploits developer" वाला article कई बार पढ़ना पड़ा तब अर्थ समझ आया। पहले मुझे लगा था जैसे Apple की notification किसी तरह डेवलपर पर हमला कर रही हो, बाद में समझ में आया कि Apple का alert security vulnerability बनाने वाले डेवलपर को भेजा जा रहा था।

    • यानी क्या इसका मतलब यह है कि Apple ने डेवलपर को "vulnerability" बता दी? :)

  • अंततः किसी ने उस संगठन के अंदर से Chrome vulnerability लीक की और यह व्यक्ति किसी बलि के बकरे की तरह चुना गया लगा। हालांकि यह पूरा मामला वास्तविक से ज़्यादा गढ़ा हुआ-सा महसूस होता है।

  • इस व्यक्ति के पास अपने पास या (या उसके ऊपर के बड़े clients के पास) यह जाँचने वाले tools होने के बावजूद कि उसने कुछ लीक किया है या नहीं, उसे लगा कि वे लोग शायद "वास्तव में ऐसा हुआ भी था या नहीं" यह सही तरीके से चेक नहीं करेंगे—यह बहुत naïve सोच है। शायद सिर्फ दिखावे के तौर पर कोई warning move भी की गई हो।

  • "मैं panic में था" वाली Gibson की quote के बाद बाद में यह लाइन आई कि "बिना detailed forensic analysis के पता नहीं चल सकता कि attack क्यों हुआ" और "वह मानते हैं कि Apple की threat notification का Trenchant से इस्तीफा देने की स्थिति से संबंध है"। रोचक यह है कि (1) उन्हें कभी अंदाज़ा ही नहीं था कि ऐसा उनके साथ हो सकता है, (2) वही व्यक्ति मीडिया इंटरव्यू दे रहा है लेकिन प्रतिशोध से डरता है। सच कहूँ तो इस स्तर पर पूछताछ करने वालों को शायद नाम पहले से ही पता होगा।

    • यह कहानी मुझे काफी fiction-जैसी लगी, जब तक कि यह व्यक्ति उद्योग में कोई बेहद मशहूर "shooter" न हो। सामान्यतः अगर आप vulnerability research करते हैं तो हर attack vector स्पष्ट समझना पड़ता है, और Trenchant जैसी संवेदनशील कंपनी में हों तो Apple डिवाइस को (कम से कम पूरी तरह नहीं) काम में नहीं लाएँगे। मैं आम तौर पर एक public-use फोन और दूसरा बहुत secure निजी फोन अलग रखकर चलाता हूँ। Apple फोन को राउटर से जोड़कर पैकेट ट्रैफ़िक देखें तो Apple की ओर जाने वाला बहुत सारा डेटा दिखता है, यानी पूर्ण नियंत्रण संभव नहीं रहता। जबकि जब मैं यात्रा में कस्टम rooted और de-googled Android फोन लेकर वही टेस्ट करता हूँ, तो सिर्फ ntp traffic दिखता है—वो भी सिर्फ certificate time drift रोकने के लिए।

    • ऐसी स्थिति में मीडिया में सामने आना भी शायद अपने गायब हो जाने से बचने की एक strategic chaes हो सकती है।

  • "गोपनीयता वाले software के निर्माता Gibson का स्वयं spyware का documented target बनना" वाली लाइन पढ़कर "leopards ate my face" meme याद आ गया; अंततः ये tools वास्तविक उपयोग के लिए ही बनते हैं।

    • बीस साल से ज्यादा पहले से ही vulnerability developers spyware के मुख्य targets रहे हैं—यह इस उद्योग में अत्यंत परिचित तथ्य है। लगता है रिपोर्टर को इस क्षेत्र की वास्तविकता की गहरी समझ नहीं है।

    • यदि "leopards ate my face" meme देखना हो, तो यहाँ देख सकते हैं।

    • पूरा article मुझे इस तरह महसूस हुआ जैसे Gibson और Trenchant/L3Harris से हटने के बाद आया कोई "तुम कहो मेरी नहीं / मेरी कहो तुम्हारी" वाला विवाद हो।

  • मैं भी पहले defense contractor contract में पहले कभी लगभग ऐसा ही झेला था, इसलिए Gibson के प्रति कुछ हद तक सहानुभूति महसूस करता हूँ। ये कंपनियाँ शानदार सैलरी और "अच्छा काम" देने का वादा करके लोगों को खींचती हैं, फिर आख़िर में employee की पूरी energy निचोड़कर revenue निकालती हैं, और कोई गड़बड़ होने पर सारी जिम्मेदारी ढकेल देती हैं (खासकर जब कोई अंदरूनी भ्रष्टाचार या गलती को ईमानदारी से रिपोर्ट करे तो तुरंत निकालकर उसे industry में पूरी तरह बदनाम कर देती हैं)। ऐसे लोगों के लिए काम न करना ही बेहतर है, लेकिन "अच्छा काम" या "बुरे लोगों को पकड़ेंगे" जैसी naive सोच से लोग बार-बार इन कंपनियों में फँसते रहते हैं, और फिर वही "leopards ate my face" meme बन जाता है।

    • "फौज जॉइन करके top-secret clearance लेना और LAN management तथा अधिकारियों को PowerPoint में images डालना सिखा दूँ तो कभी बेरोज़गार नहीं होऊँगा"—इस पर भरोसा करके शुरुआत की थी। लेकिन असल में काम केवल किसी और की PowerPoint युद्ध में आसानी से बदल देने वाली अतिरिक्त पुर्जा-सी भूमिका तक सीमित था। हर meeting एक high-risk नाटक जैसी थी जिसमें बस "जी, समझ गया" दोहराया जाता है; responsibility विकल्प बन जाती है, और आवाज़ उठाओ तो तुरंत कट जाते हैं—अरबों डॉलर की गलती भी "सीखा हुआ सबक" कहकर आगे बढ़ जाती है। मुझे तो उल्टा ईमानदारी का पाठ पढ़ाया जाता है। यह कुछ-कुछ "राजा ने नंगा होकर घूमना" खेल जैसा है, जहाँ सब लोग गले में फंदा डालकर बस confidentiality anxiety में काँपते रहते हैं।