வாட்ஸாப்ப் - சமீபத்திய பாதிப்பும் பாதுகாப்பும்

An Image of Whatsapp application.

வாட்ஸாப்ப் - சமீபத்திய பாதிப்பும் பாதுகாப்பும்  

15 மே, 2019.

வாட்ஸாப் செயலியில் உள்ள குறைபாடுகளைப் பயன்படுத்தி, ஹேக்கர்கள் செல்போன்கள் மற்றும் இதர சாதனங்களில் வேவு பார்க்கும் மென்பொருள்களை தொலை கட்டுப்பாடு மூலமாகவே நிர்மாணம் செய்ய முடிகிறது என்று தற்போது உறுதி செய்யப்பட்டிருக்கிறது.

இந்தத் தாக்குதல் ``தேர்ந்தெடுக்கப்பட்ட சில'' பயனாளர்களை குறிவைத்து நடக்கிறது என்றும், ``இணையதள செயல்பாட்டில் மதிநுட்பம் மிகுந்தவர்களால்'' இது செய்யப்படுகிறது என்றும் முகநூல் நிறுவனத்துக்குச் சொந்தமான வாட்ஸாப் நிறுவனம் தெரிவித்துள்ளது.

இதைத் தடுப்பதற்கான மென்பொருள் வெள்ளிக்கிழமை வெளியிடப்பட்டது.

இந்தத் தாக்குதலை இஸ்ரேலிய பாதுாப்பு நிறுவனம் NSO Group உருவாக்கியதாக ஃபைனான்சியல் டைம்ஸ் செய்தியில் தெரிவிக்கப் பட்டுள்ளது.

கூடுதல் முன்னெச்சரிக்கையாக தங்கள் செயலியை அப்டேட் செய்து கொள்ளுமாறு, திங்கள்கிழமை தங்களின் 1.5 பில்லியன் பயனாளர்களையும் வாட்ஸாப் கேட்டுக் கொண்டது.

இந்த மாதத்தின் தொடக்கத்தில் இந்தத் தாக்குதல் முதலில் கண்டறியப்பட்டது.

வாட்ஸாப் தகவல்கள் ஒரு முனையில் இருந்து மறு முனையில் மட்டும் அறியும் வகையில் ரகசியக் குறியீடுகளை உள்ளடக்கியதாக இருப்பதால், வாட்ஸப் ``பாதுகாப்பான'' தகவல் தொடர்புகளை பரிந்துரைக்கிறது. அதாவது, தகவலை அனுப்புபவர் அல்லது பெறுபவரின் சாதனத்தில் படிக்கக் கூடிய வகையில் மட்டும் காட்சிப்படுத்தப்பட வேண்டும் என்பது இதன் அர்த்தம்.

இருந்தபோதிலும், தகவலைப் பெறக் கூடியவரின் சாதனத்தில் இருந்து தகவல்களைப் படிக்கும் வகையில், வேவு பார்க்கும் மென்பொருள் உருவாக்கப் பட்டுள்ளது.

``பத்திரிகையாளர்கள், வழக்கறிஞர்கள், சமூக செயல்பாட்டாளர்கள், மனித உரிமை ஆர்வலர்கள்'' ஆகியோர்தான் அதிகம் குறிவைக்கப் பட்டுள்ளனர் என்று பத்திரிகையாளரை பாதுகாக்கும் லாப நோக்கற்ற கமிட்டியின் நிர்வாகி அஹமது ஜிடான் கூறியுள்ளார்.

பாதுகாப்புக் குறைபாடு எப்படி பயன்படுத்திக் கொள்ளப்பட்டது?

வாட்ஸாப்பில் குரல் வழி அழைப்பு (வாய்ஸ் கால்) செயல்பாட்டை பயன்படுத்தி, தகவல் பெறுபவரின் சாதனத்தை தொடர்பு கொண்டிருக்கிறார்கள். குரல் வழி அழைப்பை ஏற்காவிட்டாலும் கூட, வேவு பார்க்கும் மென்பொருள் அந்த சாதனத்தில் நிர்மாணிக்கப் பட்டுவிடும் என்று ஃபைனான்சியல் டைம்ஸ் கூறியுள்ளது. அந்த சாதனத்தில் அழைப்புகளின் பதிவுப் பட்டியலில் இருந்து அந்த அழைப்பின் விவரம் காணாமல் போய்விடும் என்றும் ஃபைனான்சியல் டைம்ஸ் குறிப்பிட்டுள்ளது.

இந்தக் குறைபாட்டை தங்களுடைய பாதுகாப்புப் பிரிவுதான் இந்த மாதத் தொடக்கத்தில் முதலில் கண்டுபிடித்து, மனித உரிமை குழுக்கள், தேர்வு செய்யப்பட்ட சில பாதுகாப்பு அமைப்புகள் மற்றும் அமெரிக்க நீதித் துறைக்கு தெரிவித்தது என்று பி.பி.சி.யிடம் வாட்ஸாப் நிறுவனம் தெரிவித்துள்ளது.

``செல்போன்களின் செயல்பாட்டு முறைமையை கட்டுப்பாட்டில் எடுத்துக் கொள்ளக் கூடிய வேவு மென்பொருள் அனுப்பும் வகையில், அரசுடன் செயல்படக் கூடிய தனியார் நிறுவனத்தின் அனைத்து அம்சங்களும் இந்தத் தாக்குதலில் இடம் பெற்றுள்ளன'' என்று திங்கிழமை செய்தியாளர்களுக்கு அளித்த அறிக்கையில் வாட்ஸாப் நிறுவனம் தெரிவித்துள்ளது.

பாதுகாப்பு நிபுணர்களுக்கு அறிவுறுத்தல் ஒன்றையும் இந்த நிறுவனம் வெளியிட்டது. ``வாட்ஸாப் கூடுதல் செயல்பாட்டு இட வசதி மூலம், தகவலை பெறுபவரின் செல்போன் நம்பருக்கு விசேஷமாக உருவாக்கப்பட்ட SRTCP [secure real-time transport protocol] பாக்கெட்டுகளை அனுப்பி, தொலைவில் இருந்தே செயல்படுத்தும் வகையில் வாட்ஸாப் VOIP [voice over internet protocol] -யில் உள்ள குறைபாட்டை தாக்குதல் செய்தவர்கள் பயன்படுத்திக் கொண்டுள்ளார்கள்'' என்று அதில் விவரிக்கப் பட்டுள்ளது.

``இது மிகவும் பழைய முறையிலான'' தாக்குதல் என்று சுர்ரே பல்கலைக்கழகப் பேராசிரியர் ஆலன் உட்வார்டு கூறியுள்ளார்.

``ஒரு ஆப் -பில் கூடுதல் செயல்பாட்டு இட வசதி என்பது உண்மையிலேயே தேவைப்படுவதைவிட கூடுதலாக மெமரி திறனை ஒதுக்கீடு செய்வதாகும். அதனால் மெமரியில் சிறிது காலி இடம் இருக்கும். App மூலம் சில கட்டளைகளை உங்களால் அங்கே அனுப்ப முடியுமானால், அங்கு உங்களுடைய கட்டளைகளை உங்களால் செயல்படுத்த முடியும்'' என்று அவர் விளக்கினார்.

``VOIP-யில் டயல் செய்து அழைப்பை உருவாக்கும் தொடக்க நடைமுறை உள்ளது. அங்கே தான் குறைபாடு இருக்கிறது. தாக்குதல் மென்பொருள் செயல்படுவதற்கு, இந்த அழைப்புக்கு நீங்கள் பதில் அளிக்க வேண்டும் என்பது கட்டாயம் கிடையாது'' என்றும் அவர் தெரிவித்தார்.

மிக சமீபத்திய அப்டேட்டில் உள்ள app store விவரங்களில், இதைத் தடுப்பதற்கான விவரங்கள் பற்றி வெளிப்படையாக ஏன் குறிப்பிடவில்லை என்று இந்த app பயன்படுத்தும் சிலர் கேள்வி எழுப்புகின்றனர்.

மென்பொருளின் பின்னணியில் இருப்பது யார்?

NSO Group என்பது இஸ்ரேலிய நிறுவனம். ``இணையவழி ஆயுத டீலர்'' என்று கடந்த காலத்தில் குறிப்பிடப்பட்ட நிறுவனம். லண்டனை சேர்ந்த Novalpina Capital என்ற தனியார் பங்கு நிறுவனம் இந்த தொழிலில் பங்குதாரராக உள்ளது. அந்த நிறுவனம் பிப்ரவரி மாதம் பங்குகளை வாங்கி பங்குதாரராக சேர்ந்தது.

NSO-வின் பெயர்பெற்ற மென்பொருளாக Pegasus உள்ளது. தகவல் பெறும் சாதனங்களில் இருந்து அந்தரங்கத் தகவல்களைத் திரட்டும் திறன் கொண்டதாக அது உள்ளது. மைக்ரோபோன் மற்றும் கேமரா மூலமும் இந்த மென்பொருள் தகவல்களைத் திரட்டும். அமைவிட தகவல்களையும் சேகரிக்கும்.

``குற்றங்கள் மற்றும் தீவிரவாதத்துக்கு எதிரான நடவடிக்கைகளில் அத்தாட்சி பெற்ற / அரசு நிறுவனங்கள் பயன்பாட்டுக்கானது என்று NSO தொழில்நுட்பத்துக்கு உரிமம் உள்ளது'' என்று அந்த நிறுவனம் அறிக்கை வெளியிட்டுள்ளது.

``இந்த முறைமையை நிறுவனம் இயக்குவது இல்லை. கடுமையான உரிம நடைமுறை மற்றும் பரிசோதனை நடைமுறைகளுக்குப் பிறகு, பொது மக்களைப் பாதுகாக்கும் முயற்சிகளில் இந்தத் தொழில்நுட்பத்தை எவ்வாறு பயன்படுத்துவது என்பதை புலனாய்வு மற்றும் சட்ட அமலாக்கத் துறைகள் முடிவு செய்கின்றன. தவறாக பயன்படுத்தப்படுவதாக ஏற்புடைய புகார்கள் ஏதும் வந்தால் நாங்கள் புலனாய்வு செய்வோம். தேவை இருந்தால், அந்த முறைமை செயல்பாட்டை நிறுத்துவது உள்ளிட்ட நடவடிக்கைகளை எடுப்போம்'' என்றும் அதில் தெரிவிக்கப் பட்டுள்ளது.

``எந்தவொரு சூழ்நிலையிலும், தொழில்நுட்பம் எதற்காக பயன்படுத்தப்படுகிறது என்பதிலோ அல்லது இதை செயல்படுத்துவதிலோ NSO ஈடுபடுவது கிடையாது. இதை புலனாய்வு மற்றும் சட்ட அமலாக்கத் துறைகள் தான் செய்கின்றன. எந்த நபர் அல்லது நிறுவனத்துக்கு எதிராகவும் தனிப்பட்ட முறையில் குறிவைத்து தொழில்நுட்பத்தை NSO பயன்படுத்தாது'' என்றும் அந்த நிறுவனம் கூறியுள்ளது.

யாருக்கு குறி வைக்கப்பட்டது?

சந்தேகத்துக்கு இடமான தாக்குதல்கள் உயர் நிலையில் உள்ளன என்று வாட்ஸாப் நிறுவனம் கூறினாலும், இந்தக் குறைபாட்டால் எவ்வளவு பயனாளர்கள் பாதிக்கப்பட்டார்கள் என்பதை இவ்வளவு விரைவில் அறிந்து கொள்ள முடியாது என்றும் தெரிவித்துள்ளது.

கடந்த காலங்களில் NSO Group உருவாக்கிய மென்பொருள்களின் இலக்காக இருந்த - சர்வதேச பொது மன்னிப்பு சபை, மனித உரிமைகள் குழுக்களை இலக்காக வைத்து இது நடந்திருக்கலாம் என்ற அச்சம் உள்ளதாகத் தெரிவித்துள்ளது.

``நீங்கள் நடவடிக்கை எடுப்பதற்கு முன்னதாகவே அவர்களால் உங்கள் செல்போனில் நுழைந்துவிட முடியும்'' என்று அம்னஸ்டி டெக் அமைப்பின் துணை திட்ட இயக்குநர் டன்னா இங்கிள்டன் கூறியுள்ளார். பிரபலமாக இருக்கும் சமூக செயல்பாட்டாளர்கள் மற்றும் பத்திரிகையாளர்களை வேவு பார்க்கும் வளையத்துக்குள் வைத்திருப்பதற்கு ஆட்சியாளர்களால் இதுபோன்ற மென்பொருள்கள் பயன்படுத்தப் படுகின்றன என்பதற்கு நிறைய ஆதாரங்கள் உள்ளன என்று அந்தப் பெண் அதிகாரி தெரிவித்துள்ளார்.

``இதற்கு யாராவது பொறுப்பேற்றாக வேண்டும். இது ரகசியமான துறையாகவே நீடித்துக் கொண்டிருக்க முடியாது'' என்று அவர் கூறுகிறார்.

NSO Group தனது மென்பொருள்களை ஏற்றுமதி செய்வதற்கான உரிமத்தை இஸ்ரேல் பாதுகாப்பு அமைச்சகம் ரத்து செய்ய வேண்டும் என்று வலியுறுத்தி சர்வதேச பொது மன்னிப்பு சபை தாக்கல் செய்துள்ள மனு மீது டெல் அவிவ் நீதிமன்றம் செவ்வாய்க்கிழமை விசாரணை மேற்கொள்கிறது. (BBC Tamil)

Add new comment

1 + 16 =

Please wait while the page is loading