வாட்ஸாப் செயலியில் உள்ள குறைபாடுகளைப் பயன்படுத்தி, ஹேக்கர்கள் செல்போன்கள் மற்றும் இதர சாதனங்களில் வேவு பார்க்கும் மென்பொருள்களை தொலை கட்டுப்பாடு மூலமாகவே நிர்மாணம் செய்ய முடிகிறது என்று தற்போது உறுதி செய்யப்பட்டிருக்கிறது.
இந்தத் தாக்குதல் ``தேர்ந்தெடுக்கப்பட்ட சில'' பயனாளர்களை குறிவைத்து நடக்கிறது என்றும், ``இணையதள செயல்பாட்டில் மதிநுட்பம் மிகுந்தவர்களால்'' இது செய்யப்படுகிறது என்றும் முகநூல் நிறுவனத்துக்குச் சொந்தமான வாட்ஸாப் நிறுவனம் தெரிவித்துள்ளது.
இதைத் தடுப்பதற்கான மென்பொருள் வெள்ளிக்கிழமை வெளியிடப்பட்டது.
இந்தத் தாக்குதலை இஸ்ரேலிய பாதுாப்பு நிறுவனம் NSO Group உருவாக்கியதாக ஃபைனான்சியல் டைம்ஸ் செய்தியில் தெரிவிக்கப் பட்டுள்ளது.
கூடுதல் முன்னெச்சரிக்கையாக தங்கள் செயலியை அப்டேட் செய்து கொள்ளுமாறு, திங்கள்கிழமை தங்களின் 1.5 பில்லியன் பயனாளர்களையும் வாட்ஸாப் கேட்டுக் கொண்டது.
இந்த மாதத்தின் தொடக்கத்தில் இந்தத் தாக்குதல் முதலில் கண்டறியப்பட்டது.
வாட்ஸாப் தகவல்கள் ஒரு முனையில் இருந்து மறு முனையில் மட்டும் அறியும் வகையில் ரகசியக் குறியீடுகளை உள்ளடக்கியதாக இருப்பதால், வாட்ஸப் ``பாதுகாப்பான'' தகவல் தொடர்புகளை பரிந்துரைக்கிறது. அதாவது, தகவலை அனுப்புபவர் அல்லது பெறுபவரின் சாதனத்தில் படிக்கக் கூடிய வகையில் மட்டும் காட்சிப்படுத்தப்பட வேண்டும் என்பது இதன் அர்த்தம்.
இருந்தபோதிலும், தகவலைப் பெறக் கூடியவரின் சாதனத்தில் இருந்து தகவல்களைப் படிக்கும் வகையில், வேவு பார்க்கும் மென்பொருள் உருவாக்கப் பட்டுள்ளது.
``பத்திரிகையாளர்கள், வழக்கறிஞர்கள், சமூக செயல்பாட்டாளர்கள், மனித உரிமை ஆர்வலர்கள்'' ஆகியோர்தான் அதிகம் குறிவைக்கப் பட்டுள்ளனர் என்று பத்திரிகையாளரை பாதுகாக்கும் லாப நோக்கற்ற கமிட்டியின் நிர்வாகி அஹமது ஜிடான் கூறியுள்ளார்.
வாட்ஸாப் -ஐ நான் எப்படி அப்டேட் செய்வது?
ஆண்ட்ராய்ட்
•Google Play store -ல் நுழையவும்
•திரையில் மேலே இடது புறம் மெனுவில் அழுத்தவும்
•My Apps & Games அழுத்தவும்
•அண்மையில் வாட்ஸப் அப்டேட் செய்யப் பட்டிருந்தால் Open என்ற பொத்தானுடன் கூடிய app களின் பட்டியலில் அது இருக்கும்.
•தானாகவே வாட்ஸாப் அப்டேட் செய்யப்படாதிருந்தால், Update என்று காட்டும். புதிய வெர்சனை நிர்மாணம் செய்வதற்கு Update பொத்தானை அழுத்தவும்
•ஆண்ட்ராய்ட் செல்போனுக்கான வாட்ஸப் புதிய வெர்சன் 2.19.134
iOS
•App Store -ல் நுழையவும்
•திரையின் கீழே Updates - ஐ அழுத்தவும்
•வாட்ஸாப் அண்மையில் அப்டேட் செய்யப்பட்டிருந்தால், Open என குறிப்பிடும் பொத்தான்களின் app -கள் பட்டியலில் அது இடம் பெற்றிருக்கும்.
•தானாகவே வாட்ஸாப் அப்டேட் செய்யப்படாதிருந்தால், Update என்று காட்டும். புதிய வெர்சனை நிர்மாணம் செய்வதற்கு Update பொத்தானை அழுத்தவும்.
•iOS - க்கான வாட்ஸாப் புதிய வெர்சன் 2.19.51
பாதுகாப்புக் குறைபாடு எப்படி பயன்படுத்திக் கொள்ளப்பட்டது?
வாட்ஸாப்பில் குரல் வழி அழைப்பு (வாய்ஸ் கால்) செயல்பாட்டை பயன்படுத்தி, தகவல் பெறுபவரின் சாதனத்தை தொடர்பு கொண்டிருக்கிறார்கள். குரல் வழி அழைப்பை ஏற்காவிட்டாலும் கூட, வேவு பார்க்கும் மென்பொருள் அந்த சாதனத்தில் நிர்மாணிக்கப் பட்டுவிடும் என்று ஃபைனான்சியல் டைம்ஸ் கூறியுள்ளது. அந்த சாதனத்தில் அழைப்புகளின் பதிவுப் பட்டியலில் இருந்து அந்த அழைப்பின் விவரம் காணாமல் போய்விடும் என்றும் ஃபைனான்சியல் டைம்ஸ் குறிப்பிட்டுள்ளது.
இந்தக் குறைபாட்டை தங்களுடைய பாதுகாப்புப் பிரிவுதான் இந்த மாதத் தொடக்கத்தில் முதலில் கண்டுபிடித்து, மனித உரிமை குழுக்கள், தேர்வு செய்யப்பட்ட சில பாதுகாப்பு அமைப்புகள் மற்றும் அமெரிக்க நீதித் துறைக்கு தெரிவித்தது என்று பி.பி.சி.யிடம் வாட்ஸாப் நிறுவனம் தெரிவித்துள்ளது.
``செல்போன்களின் செயல்பாட்டு முறைமையை கட்டுப்பாட்டில் எடுத்துக் கொள்ளக் கூடிய வேவு மென்பொருள் அனுப்பும் வகையில், அரசுடன் செயல்படக் கூடிய தனியார் நிறுவனத்தின் அனைத்து அம்சங்களும் இந்தத் தாக்குதலில் இடம் பெற்றுள்ளன'' என்று திங்கிழமை செய்தியாளர்களுக்கு அளித்த அறிக்கையில் வாட்ஸாப் நிறுவனம் தெரிவித்துள்ளது.
பாதுகாப்பு நிபுணர்களுக்கு அறிவுறுத்தல் ஒன்றையும் இந்த நிறுவனம் வெளியிட்டது. ``வாட்ஸாப் கூடுதல் செயல்பாட்டு இட வசதி மூலம், தகவலை பெறுபவரின் செல்போன் நம்பருக்கு விசேஷமாக உருவாக்கப்பட்ட SRTCP [secure real-time transport protocol] பாக்கெட்டுகளை அனுப்பி, தொலைவில் இருந்தே செயல்படுத்தும் வகையில் வாட்ஸாப் VOIP [voice over internet protocol] -யில் உள்ள குறைபாட்டை தாக்குதல் செய்தவர்கள் பயன்படுத்திக் கொண்டுள்ளார்கள்'' என்று அதில் விவரிக்கப் பட்டுள்ளது.
``இது மிகவும் பழைய முறையிலான'' தாக்குதல் என்று சுர்ரே பல்கலைக்கழகப் பேராசிரியர் ஆலன் உட்வார்டு கூறியுள்ளார்.
``ஒரு ஆப் -பில் கூடுதல் செயல்பாட்டு இட வசதி என்பது உண்மையிலேயே தேவைப்படுவதைவிட கூடுதலாக மெமரி திறனை ஒதுக்கீடு செய்வதாகும். அதனால் மெமரியில் சிறிது காலி இடம் இருக்கும். App மூலம் சில கட்டளைகளை உங்களால் அங்கே அனுப்ப முடியுமானால், அங்கு உங்களுடைய கட்டளைகளை உங்களால் செயல்படுத்த முடியும்'' என்று அவர் விளக்கினார்.
``VOIP-யில் டயல் செய்து அழைப்பை உருவாக்கும் தொடக்க நடைமுறை உள்ளது. அங்கே தான் குறைபாடு இருக்கிறது. தாக்குதல் மென்பொருள் செயல்படுவதற்கு, இந்த அழைப்புக்கு நீங்கள் பதில் அளிக்க வேண்டும் என்பது கட்டாயம் கிடையாது'' என்றும் அவர் தெரிவித்தார்.
மிக சமீபத்திய அப்டேட்டில் உள்ள app store விவரங்களில், இதைத் தடுப்பதற்கான விவரங்கள் பற்றி வெளிப்படையாக ஏன் குறிப்பிடவில்லை என்று இந்த app பயன்படுத்தும் சிலர் கேள்வி எழுப்புகின்றனர்.
மென்பொருளின் பின்னணியில் இருப்பது யார்?
NSO Group என்பது இஸ்ரேலிய நிறுவனம். ``இணையவழி ஆயுத டீலர்'' என்று கடந்த காலத்தில் குறிப்பிடப்பட்ட நிறுவனம். லண்டனை சேர்ந்த Novalpina Capital என்ற தனியார் பங்கு நிறுவனம் இந்த தொழிலில் பங்குதாரராக உள்ளது. அந்த நிறுவனம் பிப்ரவரி மாதம் பங்குகளை வாங்கி பங்குதாரராக சேர்ந்தது.
NSO-வின் பெயர்பெற்ற மென்பொருளாக Pegasus உள்ளது. தகவல் பெறும் சாதனங்களில் இருந்து அந்தரங்கத் தகவல்களைத் திரட்டும் திறன் கொண்டதாக அது உள்ளது. மைக்ரோபோன் மற்றும் கேமரா மூலமும் இந்த மென்பொருள் தகவல்களைத் திரட்டும். அமைவிட தகவல்களையும் சேகரிக்கும்.
``குற்றங்கள் மற்றும் தீவிரவாதத்துக்கு எதிரான நடவடிக்கைகளில் அத்தாட்சி பெற்ற / அரசு நிறுவனங்கள் பயன்பாட்டுக்கானது என்று NSO தொழில்நுட்பத்துக்கு உரிமம் உள்ளது'' என்று அந்த நிறுவனம் அறிக்கை வெளியிட்டுள்ளது.
``இந்த முறைமையை நிறுவனம் இயக்குவது இல்லை. கடுமையான உரிம நடைமுறை மற்றும் பரிசோதனை நடைமுறைகளுக்குப் பிறகு, பொது மக்களைப் பாதுகாக்கும் முயற்சிகளில் இந்தத் தொழில்நுட்பத்தை எவ்வாறு பயன்படுத்துவது என்பதை புலனாய்வு மற்றும் சட்ட அமலாக்கத் துறைகள் முடிவு செய்கின்றன. தவறாக பயன்படுத்தப்படுவதாக ஏற்புடைய புகார்கள் ஏதும் வந்தால் நாங்கள் புலனாய்வு செய்வோம். தேவை இருந்தால், அந்த முறைமை செயல்பாட்டை நிறுத்துவது உள்ளிட்ட நடவடிக்கைகளை எடுப்போம்'' என்றும் அதில் தெரிவிக்கப் பட்டுள்ளது.
``எந்தவொரு சூழ்நிலையிலும், தொழில்நுட்பம் எதற்காக பயன்படுத்தப்படுகிறது என்பதிலோ அல்லது இதை செயல்படுத்துவதிலோ NSO ஈடுபடுவது கிடையாது. இதை புலனாய்வு மற்றும் சட்ட அமலாக்கத் துறைகள் தான் செய்கின்றன. எந்த நபர் அல்லது நிறுவனத்துக்கு எதிராகவும் தனிப்பட்ட முறையில் குறிவைத்து தொழில்நுட்பத்தை NSO பயன்படுத்தாது'' என்றும் அந்த நிறுவனம் கூறியுள்ளது.
யாருக்கு குறி வைக்கப்பட்டது?
சந்தேகத்துக்கு இடமான தாக்குதல்கள் உயர் நிலையில் உள்ளன என்று வாட்ஸாப் நிறுவனம் கூறினாலும், இந்தக் குறைபாட்டால் எவ்வளவு பயனாளர்கள் பாதிக்கப்பட்டார்கள் என்பதை இவ்வளவு விரைவில் அறிந்து கொள்ள முடியாது என்றும் தெரிவித்துள்ளது.
கடந்த காலங்களில் NSO Group உருவாக்கிய மென்பொருள்களின் இலக்காக இருந்த - சர்வதேச பொது மன்னிப்பு சபை, மனித உரிமைகள் குழுக்களை இலக்காக வைத்து இது நடந்திருக்கலாம் என்ற அச்சம் உள்ளதாகத் தெரிவித்துள்ளது.
``நீங்கள் நடவடிக்கை எடுப்பதற்கு முன்னதாகவே அவர்களால் உங்கள் செல்போனில் நுழைந்துவிட முடியும்'' என்று அம்னஸ்டி டெக் அமைப்பின் துணை திட்ட இயக்குநர் டன்னா இங்கிள்டன் கூறியுள்ளார். பிரபலமாக இருக்கும் சமூக செயல்பாட்டாளர்கள் மற்றும் பத்திரிகையாளர்களை வேவு பார்க்கும் வளையத்துக்குள் வைத்திருப்பதற்கு ஆட்சியாளர்களால் இதுபோன்ற மென்பொருள்கள் பயன்படுத்தப் படுகின்றன என்பதற்கு நிறைய ஆதாரங்கள் உள்ளன என்று அந்தப் பெண் அதிகாரி தெரிவித்துள்ளார்.
``இதற்கு யாராவது பொறுப்பேற்றாக வேண்டும். இது ரகசியமான துறையாகவே நீடித்துக் கொண்டிருக்க முடியாது'' என்று அவர் கூறுகிறார்.
NSO Group தனது மென்பொருள்களை ஏற்றுமதி செய்வதற்கான உரிமத்தை இஸ்ரேல் பாதுகாப்பு அமைச்சகம் ரத்து செய்ய வேண்டும் என்று வலியுறுத்தி சர்வதேச பொது மன்னிப்பு சபை தாக்கல் செய்துள்ள மனு மீது டெல் அவிவ் நீதிமன்றம் செவ்வாய்க்கிழமை விசாரணை மேற்கொள்கிறது.
Post a Comment
Post a Comment