पेगासस मोबाइल उपकरणों के लिए बनाया गया एक स्पाइवेयर (जासूसी सॉफ्टवेयर) है जो सेलफोन को मोबाइल निगरानी स्टेशन में बदल देता है। शोधकर्ताओं ने दस्तावेजीकरण किया है कि इसे दुनिया भर के पत्रकारों की जासूसी करने के लिए इस्तेमाल किया जा रहा है, और खोजी पत्रकारों ने 2021 में कम से कम 180 पत्रकारों की संभावित लक्ष्य के रूप में पहचान की है। यह पत्रकारों की अपनी सुरक्षा और उनके स्रोतों की सुरक्षा पर महत्वपूर्ण प्रभाव डालता है।
अंतरवस्तु –
पत्रकारों और सम्पादकीय प्रभाग के लिए मार्गदर्शन –
पृष्ठभूमि अनुसन्धान
विभिन्न प्रकार के हमले के लिए सलाह
जून 2020 से जुलाई 2021 के दौरान बनी एमनेस्टी इंटरनेशनल की रिपोर्ट के अनुसार, हाल के हमलों में फोन पर ऐप या सॉफ़्टवेयर में कमजोरियों का उपयोग करने के लिये उपयोगकर्ता (मोबाईल फोन धारक ) से किसी भी तरह की बातचीत करने की आवश्यकता नहीं है। जबकि पिछले हमलों में उपयोगकर्ताओं के साथ छल करके उनको भेजे गये संदेशों में शामिल लिंक पर क्लिक करके उनके उपकरणों पर स्पाइवेयर स्थापित किया जाता था।
एक बार किसी डिवाइस या मोबाईल फोन पर स्थापित हो जाने के बाद स्पाइवेयर हमलावर को लक्षित व्यक्ति के फोन से मौजूदा और भविष्य के डेटा की निगरानी, रिकॉर्ड और एकत्र करने की क्षमता देता है। इसमें मैसेजिंग एप्लिकेशन और रीयल-टाइम स्थान डेटा से कॉल और जानकारी भी शामिल है। स्पाइवेयर उक्त लक्षित व्यक्ति और उनके आसपास के परिवेश का सर्वेक्षण करने के लिए उनके डिवाइस या मोबाइल फोन के कैमरा और माइक्रोफ़ोन को भी दूरस्थ रूप से सक्रिय करने में सक्षम है।
पेगासस का उत्पादन करने वाला इज़राइल स्थित एनएसओ समूह, सरकारी एजेंसियों को अपराध और आतंकवाद की जांच के लिए उपकरण बेचता है। (एनएसओ समूह ने लगातार सीपीजे से कहा है कि वह व्यक्तिगत मामलों पर टिप्पणी नहीं करेगा, लेकिन वह उन रिपोर्टों की जांच करता है कि अनुबंध के उल्लंघन में उनके उत्पादों का दुरुपयोग किया गया था।)
पत्रकारों और सम्पादकीय प्रभाग के लिए मार्गदर्शन –
पेगासस को कुछ इस प्रकार डिजाईन किया गया है कि वह एंड्रॉइड, ब्लैकबेरी ओएस और आईओएस चलाने वाले फोन पर चल सकता है और लक्ष्य (सम्बंधित पत्रकार) को उसकी उपस्थिति के बारे में कोई जानकारी नहीं होती है। पत्रकारों को केवल तभी पता चलेगा कि उनका फोन संक्रमित हो गया है जब किसी विश्वसनीय तकनीकी विशेषज्ञ द्वारा डिवाइस का निरीक्षण किया जाता है। जो पत्रकार इसको लेकर चिंतित हैं, वे इस प्रदर्शिका को उनके साथ साझा करना चाह सकते हैं।
यदि आपके पास यह मानने का कारण है कि आपको निशाना बनाया गया है और आपके डिवाइस (मोबाइल फोन) पर स्पाइवेयर(जासूसी सॉफ्टवेयर ) है:
ऐसी स्थिति में –
- उक्त मोबाइल फोन का उपयोग करना तत्काल बंद कर दें।
- उक्त मोबाईल फोन को किसी ऐसे स्थान पर रख दें जहाँ रखने से आपके या आपके आसपास का स्थान प्रभावित न हो।
- उक्त मोबाइल फोन पर चल रहे सभी ईमेल खातों, सोशल मीडिया के हैण्डल, इंटरनेट बैंकिंग इत्यादि से लॉगआउट कर जायें एवं उन सभी खतों को उक्त मोबाईल फोन से हमेशा के लिये हटा लें।
- किसी अन्य मशीन/ मोबाईल फोन या कम्प्यूटर से उन सभी खातों के पासवर्ड बदल लें।
- किसी डिजिटल सुरक्षा विशेषज्ञ की सलाह लें। यदि आप स्वतंत्र पत्रकार हैं और आपके पास तकनीकी मदद प्राप्त करने के साधन संसाधन उपलब्ध नहीं हैं तो एक्सेस नाउ की हेल्पलाईन से सम्पर्क करें।
- अगर उक्त मोबाईल फोन को बदलने से पहले इस्तेमाल करना आपके लिये आवश्यक है तो ऐसी स्थिति में उक्त मोबाईल फोन को सेटिंग में जाकर फ़ैक्टरी रीसेट करें और सुनिश्चित करें कि आपका ऑपरेटिंग सिस्टम, ऐप्स और ब्राउज़र नवीनतम संस्करण में अपडेट हैं। इस बात की गारंटी नहीं है कि ऐसा करने से आपके फोन से जासूसी सॉफ्टवेयर हट जायेगा। हालाँकि एमनेस्टी इंटरनेशनल ने जुलाई 2021 में उल्लेख किया है कि उपकरणों (मोबाइल फोन ) को रिबूट किये जाने के बाद पेगासस हट जाया करता है।
- इसी रिपोर्ट में यह भी कहा गया है कि पेगासस द्वारा उपकरणों को संक्रमित करने के लिए 700 डोमेन नामों का उपयोग किया गया था और सिफारिश की गयी थी कि मीडिया आउटलेट इन साइटों के लिए अपने नेटवर्क टेलीमेट्री और डीएनएस लॉग की जांच करें, यह एक संकेत के रूप में है कि उन्हें स्पाइवेयर द्वारा निशाना बनाया गया हो सकता है।
- एमनेस्टी का मोबाइल सत्यापन टूलकिट तकनीकी विशेषज्ञों के लिए यह पुष्टि करने में मदद कर सकता है कि कोई उपकरण पेगासस से संक्रमित हुआ है या नहीं।
पृष्ठभूमि अनुसन्धान
वर्ष 2018 में सिटीजन लैब द्वारा पेगासस के 45 देशों में होने की पुष्टि की गयी। रिपोर्ट में यह पाया गया कि पेगासस को मेक्सिको, सऊदी अरब, बहरीन, मोरक्को, टोगो, इज़राइल, यू.एस. और संयुक्त अरब अमीरात में पत्रकारों और नागरिक समाज से जुड़े महत्वपूर्ण लोगों के खिलाफ तैनात किया गया होगा।
सिटीजन लैब के अनुसार, मई 2019 में, मैसेजिंग ऐप व्हाट्सएप में एक भेद्यता की पहचान की गई थी, जिसे ठीक किये जाने से पहले, उनके कुछ उपयोगकर्ताओं के फोन को स्पाइवेयर से संक्रमित कर दिया गया था, जिसमें कम से कम 20 देशों में 100 से अधिक मानवाधिकार रक्षक और पत्रकार शामिल थे। व्हाट्सएप, जिसका स्वामित्व फेसबुक के पास है, ने बाद में उस स्पाइवेयर की पहचान पेगासस या एक संस्करण के रूप में की थी ।
जून 2020 में एमनेस्टी इंटरनेशनल द्वारा की गयी एक जाँच में पाया गया कि मोरक्को के एक पत्रकार का फोन तब संक्रमित हुआ जब उनके फोन का इंटरनेट ट्रैफिक को हमलावरों द्वारा नियंत्रित एक दुर्भावनापूर्ण वेबसाइट पर फिर से भेज दिया गया था। एक बार फ़ोन का इंटरनेट ब्राउज़र साइट से कनेक्ट होने के बाद, हमलावरों ने डिवाइस से समझौता करने के लिए सॉफ़्टवेयर में कमजोरियों का फायदा उठाया। रिपोर्ट में यह स्पष्ट हुआ कि एक बार फ़ोन का इंटरनेट ब्राउज़र साइट से जुड़ जाने के बाद, हमलावरों ने डिवाइस की सुरक्षा से समझौता करने के लिए सॉफ़्टवेयर में कमजोरियों का फायदा उठाया। रिपोर्ट में कहा गया है कि यह हमला या तो मोबाईल फोन के एक असामाजिक टॉवर का उपयोग करके सेल फोन इंटरनेट ट्रैफिक को फिर से रूट करके किया गया था, एक उपकरण जो सेल फोन टॉवर जैसा काम करता है, या फिर लक्ष्य के सेल फोन प्रदाता तक पहुंच प्राप्त करके किया गया था।
दिसंबर 2020 में सिटिज़न लैब द्वारा की गयी एक व्यापक जाँच में यह पाया गया कि 36 पत्रकारों और मीडिया अधिकारियों के व्यक्तिगत आईफोन पर पेगासस के मौजूद होने का पता लगाया गया; इनमें से अधिकांश अल-जज़ीरा में काम करते थे, लेकिन एक अल-अरबी टीवी का पत्रकार भी निशाने पर था।
उक्त जांच ने सरकारी एजेंटों को इन हमलों के लिए जिम्मेदार ठहराया था और उनका संभावित इशारा शायद सउदी अरब और संयुक्त अरब अमीरात की तरफ था, और यह भी कहा गया कि यह संभावना है कि जितने लोग निशाने पर थे उनकी संख्या के केवल एक अंश का पता चल पाया था।
जुलाई 2021 में, वैश्विक मीडिया संस्थानों के एक संघ ने लीक हुए एक दस्तावेज़ की जांच की, जिसमें दुनिया भर के 50,000 से अधिक लोगों के फोन नंबर थे, जिनमें 180 से अधिक पत्रकारों के भी नंबर थे और वे एनएसओ के ग्राहकों के लिये रुचिकर प्रतीत हो रहे थे। एमनेस्टी इंटरनेशनल ने फॉरबिडन स्टोरीज के साथ साझेदारी में उन पत्रकारों में से एक दर्जन से अधिक के फोन का फोरेंसिक विश्लेषण किया और आईफोन 12 के संस्करण 14.6 को प्रभावित करने वाले हालिया संक्रमणों को दिखाया।
विभिन्न प्रकार के हमले के लिए सलाह
पेगासस को कई तरीकों से स्थापित किया जा सकता है। पत्रकारों को चाहिए कि वे इन तरीकों से सामयिक बने रहें और अपनी और अपने स्रोतों की सुरक्षा के लिए उचित कदम उठाएं।
ज़ीरो डे हमले
जीरो-डे अटैक, जिसे जीरो-क्लिक अटैक भी कहा जाता है, ये लोगों का नहीं बल्कि उनके मोबाईल फोन में स्थित कमजोर सॉफ्टवेयर का फायदा उठाते हैं। उन्हें उपयोगकर्ता से किसी सहभागिता की आवश्यकता नहीं है।
- व्हाट्सएप हैक की रिपोर्ट में कहा गया है कि अज्ञात नंबरों से उपयोगकर्ताओं को कॉल करके हमला किया गया, जिसके परिणामस्वरूप ऐप क्रैश हो गया। कॉल लॉग से नंबर गायब हो गए, मिस्ड कॉल का कोई रिकॉर्ड नहीं रह गया और न ही इस बात का कोई रिकॉर्ड रह गया कि कॉल किसने की थी।
- दिसंबर 2020 में सिटीजन लैब की रिपोर्ट में पाया गया कि हमलावरों ने आई मेसेंजर ऐप में एक भेद्यता के माध्यम से स्पाइवेयर (जासूसी सॉफ्टवेयर) को तैनात किया, जिसके लिये मोबाईल फोन या डिवाईस के धारक से कोई संपर्क की आवश्यकता नहीं थी। ऐसा प्रतीत होता है कि आईओएस 14 अपडेट में भेद्यता को ठीक कर दिया गया है।
- जुलाई 2021 में, एमनेस्टी इंटरनेशनल ने आईफोन 12 के संस्करण 14.6 पर आईमेसेज ऐप के माध्यम से बार-बार संक्रमण के प्रयासों के निशान की पहचान करने की सूचना दी। रिपोर्ट में इस बात की भी चिंता जताई गई है कि अन्य बिल्ट-इन ऐप्स, जैसे कि आईट्यून्स स्टोर ऐप, हमले की चपेट में आ सकते हैं।
जीरो-डे अटैक से खुद को बचाना मुश्किल है। सरकार जैसे परिष्कृत विरोधी द्वारा निशाना बनाये जा सकने वाले पत्रकारों को चाहिए:
- एहतियात के तौर पर हर कुछ महीनों में सस्ते, बर्नर फोन बदलने पर विचार करें।
- अपने फ़ोन के ऑपरेटिंग सिस्टम के साथ-साथ ऐप्स और ब्राउज़र को भी नियमित रूप से अपडेट करें।
- नियमित रूप से अपने फोन पर चल रहे सभी एप्लिकेशन की समीक्षा करते रहें और उन ऐप्स को हटा दें जिनका आप उपयोग नहीं कर रहे हैं।
- यदि संभव हो, तो सीधी मदद प्राप्त करने के लिए किसी डिजिटल सुरक्षा विशेषज्ञ से संपर्क करें।
नेटवर्क अंतःक्षेपण हमले
नेटवर्क इंजेक्शन ( अंतःक्षेपण) हमले में उपयोगकर्ता से किसी प्रकार का संवाद करने की आवश्यकता नहीं होती है ; इसके बजाय, इसमें ब्राउज़र या ऐप्स को हमलावरों द्वारा नियंत्रित साइटों पर स्वचालित रूप से पुनर्निर्देशित किया जाता है। इसे मैन इन द मिडिल अटैक (एमआईटीएम ) के नाम से भी जाना जाता है। एक बार दुर्भावनापूर्ण साइट से सम्पर्क स्थापित हो जाने के बाद, हमलावर सॉफ़्टवेयर की कमजोरियों के माध्यम से डिवाइस को संक्रमित करते हैं।
अत्यधिक संभावना है कि एक पत्रकार को यह जानकारी नहीं हो पायेगी कि क्या वे इस प्रकार के नेटवर्क इंजेक्शन हमले का लक्ष्य रहे हैं और इससे बचाव करना उनके लिये मुश्किल हो सकता है।
खतरे को कम करने के लिये :
- मोबाइल फोन , कम्प्यूटर/ लैपटॉप पर वर्चुअल प्रायवेट नेटवर्क (वीपीएन) की सुविधा का उपयोग करें।
- जिस देश में आप रहते हैं या यात्रा कर रहे हैं, वहां वीपीएन के उपयोग के संबंध में स्थानीय कानून के बारे में सूचना एकत्रित कर लें।
- यह सुनिश्चित करने के लिए वीपीएन कंपनी पर शोध करें कि वह ब्राउज़र इतिहास और लॉग इन विवरण सहित उपयोगकर्ताओं का डेटा संग्रहित नहीं करता है, क्योंकि इसे सरकारों द्वारा देखा और प्राप्त किया जा सकता है।
- जांच लें कि क्या वीपीएन प्रदाता कंपनी के सरकारी निकायों के निकट संबंध हैं या क्या वह सरकारों के स्वामित्व में है।
- ऐसी कंपनी की सेवा चुनें जो उस देश के बाहर स्थित हो जिसमें आप रहते हैं और गोपनीयता के मामले में जिसकी अच्छी पृष्ठभूमि हो।
स्पीयर-फ़िशिंग हमले
हमलावर किसी भी विशिष्ट पत्रकार (जिसे निशाना बनाना है) को भेजे जाने के लिये विशेष प्रकार के संदेश बनाते हैं। ये संदेश तात्कालिकता की भावना व्यक्त करते हैं और इसमें एक लिंक या एक दस्तावेज होता है जिसे क्लिक करने के लिए पत्रकार को प्रोत्साहित किया जाता है। ऐसे संदेश विभिन्न रूपों में आते हैं, जिनमें एसएमएस, ईमेल, व्हाट्सएप जैसे मैसेजिंग ऐप के माध्यम से या सोशल मीडिया प्लेटफॉर्म पर संदेशों के माध्यम शामिल हैं। एक बार पत्रकार ने लिंक पर क्लिक कर दिया, तो उनके फोन में स्पाइवेयर इंस्टॉल हो जाता है।
सिटीजन लैब और एमनेस्टी इंटरनेशनल द्वारा किये गये शोध में पाया गया कि संदेश निम्नलिखित रूप लेते हैं:
- किसी ज्ञात संगठन जैसे दूतावास या स्थानीय समाचार संस्थान से होने वाले संदेश।
- चेतावनी देने वाले ऐसे सन्देश जो लक्षित पत्रकार को सूचित करें कि उनकी सुरक्षा खतरे में है और उन्हें तत्काल खतरे का सामना करना पड़ सकता है।
- ऐसे संदेश जो किसी भी कार्य से संबंधित हों जैसे किसी ऐसी घटना को कवर करना, जिस पर लक्षित व्यक्ति आमतौर पर रिपोर्ट करता है।
- ऐसे संदेश जो व्यक्तिगत मामलों से जुड़े होते हैं, जैसे कि जीवनसाथी/दोस्त/प्रेमी/प्रेमिका की अन्तरंग तस्वीरों से संबंधित।
- वित्तीय मामलों से जुड़े संदेश जो खरीदारी, क्रेडिट कार्ड या बैंकिंग विवरण का संदर्भ देते हैं।
अक्सर अज्ञात नंबरों से भी ऐसे संदिग्ध संदेश आ सकते हैं।
हमलावर व्यक्तिगत और काम के फोन को निशाना बना सकते हैं। अपनी और अपने स्रोतों की बेहतर सुरक्षा के लिये पत्रकारों को चाहिये कि :
- संचार के एक अलग चैनल के माध्यम से प्रेषक के साथ लिंक को भी सत्यापित करें। यह अधिमानतः वीडियो या आवाज के माध्यम से होना चाहिये।
- यदि प्रेषक आपको पहले से नहीं जानता है, तो माध्यमिक चैनल लिंक का सफल सत्यापन प्रदान नहीं कर सकते हैं, क्योंकि ऐसे चैनल एक विस्तृत कवर पहचान के हिस्से के रूप में विरोधी द्वारा स्थापित किये जा सकते हैं।
- यदि लिंक किसी यूआरएल शॉर्टनर सेवा जैसे टाइनीयूआरएल TinyURL या बिटली Bitly का उपयोग करता है, तो लिंक को यूआरएल विस्तारक सेवा जैसे लिंक एक्सपैंडर या URLEX में इनपुट करें। यदि विस्तारित लिंक संदिग्ध लगता है, उदाहरण के लिए किसी स्थानीय समाचार वेबसाइट की नकल करता हुआ, लेकिन बिल्कुल समान नहीं है, तो उस लिंक पर क्लिक न करें।
- यदि आपको लगता है कि आपको किसी लिंक को खोलने की आवश्यकता है, तो अपने प्राथमिक उपकरण (मोबाइल / लैपटॉप) का उपयोग न करें। लिंक को एक अलग दूसरे उपकरण पर खोलें जिसमें कोई संवेदनशील जानकारी या संपर्क विवरण नहीं है, और केवल लिंक देखने के लिए उपयोग किया जाता है। अपने डिवाइस पर नियमित रूप से फ़ैक्टरी रीसेट करें (यह ध्यान में रखते हुए कि यह स्पाइवेयर को नहीं हटा सकता है)। उपयोग में न होने पर, बैटरी को हटाकर, दूसरे उपकरण को बंद रखें।
- फ़ोन के लिए एक गैर-डिफ़ॉल्ट ब्राउज़र का उपयोग करें। माना जाता है कि पेगासस डिफ़ॉल्ट ब्राउज़रों को निशाना बनाता है। एंड्रॉइड के लिए डिफ़ॉल्ट ब्राउज़र क्रोम है और आईओएस के लिए डिफ़ॉल्ट ब्राउज़र सफारी है। फ़ायरफ़ॉक्स फोकस जैसे वैकल्पिक ब्राउज़र का उपयोग करें और उसमें लिंक खोलें। हालांकि, इस बात की कोई गारंटी नहीं है कि पेगासस पहले से ही अन्य ब्राउज़रों को निशाना बनायेगा या नहीं बनायेगा।
एक विरोधी द्वारा भौतिक रूप से स्थापना करना।
यदि कोई विरोधी आपकी डिवाइस तक भौतिक पहुंच प्राप्त कर लेता है तो आपके फोन पर भी पेगासस को स्थापित किया जा सकता है। ऐसे जोखिम को कम करने के लिये:
- अपने मोबाइल / लैपटॉप इत्यादि को लावारिस न छोड़ें और अपना फोन दूसरों को सौंपने से बचें।
- किसी भी देश की सीमा या कोई चेकपॉइंट पार करते समय सुनिश्चित करें कि आप अपने फोन को हर समय देख सकते हैं। चेकपॉइंट पर पहुंचने से पहले अपने फोन को बंद कर दें, और एक जटिल पासवर्ड जिसमें अक्षर और संख्या दोनों शामिल हो उससे मोबाइल को लॉक करें। जान लें कि अगर आपका फोन ले लिया गया तो उसकी सुरक्षा से समझौता किया जा सकता है।
अपनी और अपने स्रोतों की सुरक्षा के लिए अधिक जानकारी के लिए, सीपीजे की डिजिटल सुरक्षा किट देखें।
बहुमूल्य अंतर्दृष्टि के लिए सिटीजन लैब को धन्यवाद प्रेषित है।
[संपादक का नोट: सुरक्षा अद्यतनों को शामिल करने के लिए शून्य-दिन के हमलों पर सलाह को अद्यतन किया गया है।]