- WhatsApp, जिसके 3 अरब से अधिक उपयोगकर्ता हैं, ने मैलवेयर खतरों के खिलाफ अपनी सुरक्षा मजबूत करने के लिए Rust-आधारित सुरक्षा परत पेश की है
- मीडिया consistency लाइब्रेरी को Rust में दोबारा लिखा गया और इसे अरबों डिवाइसों व ब्राउज़रों पर तैनात कर वैश्विक स्तर पर वास्तविक उपयोग में सत्यापित किया गया
- मौजूदा C++ की 1.6 लाख लाइनों को Rust की 90 हजार लाइनों से बदलते हुए performance और memory efficiency दोनों में सुधार हुआ
- 2015 की Stagefright vulnerability के बाद, मीडिया फ़ाइल प्रोसेसिंग की सुरक्षा बढ़ाने के लिए Rust जैसी memory-safe language अपनाने की दिशा में काम चल रहा था
- यह बदलाव WhatsApp·Messenger·Instagram की समग्र सुरक्षा रणनीति में memory-safe languages की भूमिका बढ़ाने वाला एक turning point है
WhatsApp की मीडिया प्रोसेसिंग रणनीति
- WhatsApp, 3 अरब से अधिक लोगों द्वारा उपयोग की जाने वाली end-to-end encrypted messaging service है, और लगातार सुरक्षा खतरों से निपटने के लिए अपनी रणनीति विकसित करता रहा है
- जब उपयोगकर्ता image, video जैसी media फ़ाइलें साझा करते हैं, तो उनमें malware शामिल होने की संभावना रहती है
- कुछ फ़ाइलें operating system या app की unpatched vulnerabilities का दुरुपयोग कर सकती हैं
- इसे रोकने के लिए media sharing फीचर में Rust language को अपनाया गया, जिससे memory safety सुनिश्चित की गई
- इसे वैश्विक स्तर पर Rust-आधारित लाइब्रेरी deployment के सबसे बड़े उदाहरणों में से एक बताया गया है
2015 Android Stagefright vulnerability और प्रतिक्रिया
- 2015 की Android Stagefright vulnerability OS-स्तर की media processing लाइब्रेरी में मौजूद थी, इसलिए इसे app स्तर पर ठीक करना संभव नहीं था
- WhatsApp ने अपनी C++ लाइब्रेरी
wamedia को संशोधित कर MP4 standard का पालन न करने वाली फ़ाइलों का पता लगाने में सक्षम बनाया
- इससे OS update के बिना भी उपयोगकर्ताओं की सुरक्षा संभव हुई
- लेकिन चूंकि
wamedia अविश्वसनीय input को स्वतः प्रोसेस करता है, इसलिए memory-safe language में स्थानांतरण की आवश्यकता सामने आई
Rust की ओर बदलाव: बड़े पैमाने पर पुनर्लेखन और परिणाम
- WhatsApp ने मौजूदा C++ version के साथ-साथ
wamedia का Rust version विकसित किया
- differential fuzzing, integration tests और unit tests के माध्यम से दोनों implementations के बीच compatibility सत्यापित की गई
- शुरुआती चरण में Rust standard library के कारण binary size में वृद्धि और build system compatibility की समस्याएं थीं, लेकिन लंबे समय के लिए support framework तैयार किया गया
- नतीजतन C++ 1.6 लाख लाइनें → Rust 90 हजार लाइनें का बदलाव हुआ, और performance व memory उपयोग efficiency दोनों बेहतर हुए
- Android, iOS, Mac, Web, wearable सहित सभी प्लेटफ़ॉर्म पर Rust version की पूर्ण तैनाती पूरी हो चुकी है
- इसके बाद
Kaleidoscope system पेश किया गया, जो PDF, executable files जैसी जोखिमपूर्ण फ़ाइल प्रकारों का पता लगाता है और extension forgery या MIME spoofing की पहचान करता है
WhatsApp का सुरक्षा दृष्टिकोण
- WhatsApp end-to-end encryption, encrypted backups, key transparency, call protection features जैसी कई सुरक्षा परतें संचालित करता है
- CVE disclosure, आंतरिक और बाहरी security audits, fuzzing और static analysis, supply chain management, attack surface analysis के जरिए जोखिमों की पहचान की जाती है
- Bug Bounty program का विस्तार कर शोधकर्ताओं को WhatsApp network protocol का विश्लेषण करने के लिए Research Proxy उपलब्ध कराया गया
- यह पुष्टि हुई कि कई प्रमुख vulnerabilities की जड़ C/C++ memory safety issues में है, और इसके लिए तीन रणनीतियां साथ-साथ चलाई जा रही हैं
- अनावश्यक attack surface को न्यूनतम करना
- बचे हुए C/C++ code की security assurance को मजबूत करना
- नए code की default language को memory-safe language में बदलना
Rust अपनाने में तेजी और आगे की दिशा
- Rust ने WhatsApp के लिए high-performance, cross-platform security libraries बनाना संभव किया
- यह बदलाव उपयोगकर्ता को दिखाई न देने वाली एक अतिरिक्त सुरक्षा परत प्रदान करता है और defense-in-depth रणनीति का हिस्सा है
- WhatsApp और Meta की security teams Rust के उच्च-प्रभाव वाले उपयोग क्षेत्रों का विस्तार कर रही हैं और भविष्य में Rust adoption को तेज़ करने की योजना है
अभी कोई टिप्पणी नहीं है.