साल 2019 में, कई मीडिया रिपोर्ट्स से इस बात की जानकारी लगी थी कि दुनिया के सबसे लोकप्रिय मैसेजिंग प्लेटफॉर्म व्हाट्सएप का इस्तेमाल 2019 की शुरुआत में भारत में पत्रकारों और मानवाधिकार कार्यकर्ताओं की जासूसी करने के लिए किया गया था। यह निगरानी एक इजरायली कंपनी, एनएसओ ग्रुप (NSO Group) द्वारा विकसित पेगासस नामक स्पाइवेयर टूल का उपयोग करके की गई थी।
इसी चिंताजनक मुद्दे को लेकर व्हाट्सएप ने सैन फ्रांसिस्को के फ़ेडरल कोर्ट में इज़राइल के NSO Group पर मुकदमा दायर कर दिया, जिसमें संयुक्त राज्य अमेरिका और अन्य जगहों पर व्हाट्सएप सर्वर का उपयोग करने का आरोप लगाया गया था, आरोप में कहा गया था कि "चुनिंदा व्हाट्सएप यूजर्स (टारगेट यूजर्स) की निगरानी करने के उद्देश्य से लगभग 1,400 मोबाइल फोन और उपकरणों ('टारगेट डिवाइस') पर मैलवेयर भेजने के लिए व्हाट्सएप सर्वर का उपयोग किया गया"।
व्हाट्सएप ने जो शिकायत दर्ज कराई उसमें कहा गया कि चार महाद्वीपों के 20 देशों के उपयोगकर्ताओं पर "अप्रैल के महीने की आसपास की तारीख से लेकर मई 2019 के बीच" निगरानी की गई।
व्हाट्सएप के प्रमुख विल कैथकार्ट ने द वाशिंगटन पोस्ट के एक ओपेनियन पीस(Op-ed) में लिखा है, spyware Pegasus ने "दुनिया भर के लगभग 100 मानवाधिकार रक्षकों, पत्रकारों और नागरिक समाज के अन्य सदस्यों को लक्षित किया।" उन्होंने जोर देकर कहा कि "जो उपकरण हमारे निजी जीवन में निगरानी की अनुमति देते हैं, उनका दुरुपयोग किया जा रहा है, और गैर-जिम्मेदार कंपनियों और सरकारों के हाथों इस तकनीक का प्रसार हम सभी को जोखिम में डालता है।"
फेसबुक के स्वामित्व वाला व्हाट्सएप, दुनिया में सबसे लोकप्रिय मैसेजिंग एप्लिकेशन है, जिसके दुनिया भर में 1.5 बिलियन से अधिक उपयोगकर्ता हैं। उन उपयोगकर्ताओं में से लगभग एक चौथाई - 400 मिलियन से अधिक, या 40 करोड़ - भारत में हैं, जो व्हाट्सएप का सबसे बड़ा बाजार है।
NSO Group, Tel Aviv स्थित साइबर सिक्योरिटी कंपनी है जो "निगरानी प्रौद्योगिकी (surveillance technology)" में माहिर है और इसका उद्देश्य दुनिया भर की सरकारों और कानून प्रवर्तन एजेंसियों को अपराध और आतंकवाद से लड़ने में मदद करना है।
आइए, पेगासस के बारे में डिटेल में जानते हैं-
सभी स्पाइवेयर वही करते हैं जो नाम से पता चलता है, वे फोन के माध्यम से लोगों की जासूसी करते हैं। पेगासस एक एक्सप्लॉइट लिंक के ज़रिये अपने काम को अंजाम देता है। मैसेजिंग एप के माध्यम से टार्गेटेड यूजर को लिंक भेजी जाती है और अगर गलती से भी यूजर उस लिंक पर क्लिक करता है, तो उसके फोन पर निगरानी को सक्षम करने वाला मैलवेयर या कोड इंस्टॉल हो जाता है। (मैलवेयर के नए अपडेट में संभावित रूप से के लिए टारगेटेड यूजर को किसी लिंक पर क्लिक करने की भी आवश्यकता नहीं होती है। इससे जुड़ी और अधिक जानकारी आपको आगे मिलेगी) यूजर के फोन में एक बार Pegasus इनस्टॉल हुआ तो फिर यूजर के फोन की सारी जानकारी कंपनी के पास पहुंचने लगती है।
पेगासस स्पाइवेयर संचालन के बारे में पहली रिपोर्ट 2016 में सामने आई थी, जब संयुक्त अरब अमीरात (UAE) में मानवाधिकार कार्यकर्ता अहमद मंसूर पर उनके आईफोन 6 पर एक एसएमएस लिंक के साथ हमला किया गया था। उस समय पेगासस टूल ने एक कमी का फायदा उठाया। जवाब देते हुए Apple ने "पैच" या समस्या को ठीक करने के लिए एक अपडेट जारी कर दी थी।
सितंबर 2018 में, टोरंटो विश्वविद्यालय में मंक स्कूल ऑफ ग्लोबल अफेयर्स एंड पब्लिक पॉलिसी पर आधारित एक अंतःविषय प्रयोगशाला, सिटीजन लैब ने दिखाया कि पेगासस "zero-day की एक चेन फोन पर सुरक्षा सुविधाओं को भेदने के लिए exploit करती है और यूजर की जानकारी या अनुमति के बिना पेगासस को इनस्टॉल करती है"। सिटीजन लैब की जांच से पता चला है कि उस समय 45 देशों में पेगासस स्पाइवेयर ऑपरेशन सक्रिय थे।
Zero-day exploit क्या है?
"Zero-day exploit" पूरी तरह से अज्ञात भेदन करता है, जिसके बारे में सॉफ्टवेयर निर्माता भी नहीं जानते हैं, और इसलिए इसके लिए कोई पैच या फिक्स उपलब्ध नहीं है। ऐप्पल और व्हाट्सएप के विशिष्ट मामलों में, न तो कंपनी को सुरक्षा भेद्यता के बारे में पता था, जिसका इस्तेमाल सॉफ्टवेयर का फायदा उठाने और डिवाइस को संभालने के लिए किया गया था।
दिसंबर 2018 में, मॉन्ट्रियल स्थित सऊदी कार्यकर्ता उमर अब्दुलअज़ीज़ ने Tel Aviv की एक अदालत में NSO समूह के खिलाफ मामला दर्ज कराया, जिसमें आरोप लगाया गया था कि पेगासस का उपयोग करके उनके फोन में घुसपैठ की गई थी, और बातचीत जो उसने अपने करीबी दोस्त, मारे गए सऊदी असंतुष्ट पत्रकार जमाल खशोगी के साथ की थी, उसकी जासूसी की गई।
मई 2019 में, फाइनेंशियल टाइम्स ने बताया कि पेगासस का इस्तेमाल व्हाट्सएप का फायदा उठाने और संभावित लक्ष्यों की जासूसी करने के लिए किया जा रहा था। व्हाट्सएप ने सुरक्षा बग को ठीक करने के लिए एक जरूरी सॉफ्टवेयर अपडेट जारी किया जिसने स्पाइवेयर को एप्लिकेशन का फायदा उठाने की अनुमति दी।
इंस्टाल होने के बाद पेगासस क्या कर सकता है?
सिटीजन लैब पोस्ट के अनुसार, पेगासस "लोकप्रिय मोबाइल मैसेजिंग ऐप से पासवर्ड, संपर्क सूची, कैलेंडर ईवेंट, टेक्स्ट मैसेज और लाइव वॉयस कॉल सहित लक्ष्य के निजी डेटा को वापस भेज सकता है।" निगरानी के दायरे का विस्तार करते हुए, फ़ोन के आस-पास की सभी गतिविधियों को कैप्चर करने के लिए लक्षित फ़ोन के कैमरे और माइक्रोफ़ोन को चालू किया जा सकता है।
पेगासस ब्रोशर में किये गए दावों के मुताबिक, व्हाट्सएप ने तकनीकी प्रदर्शनी के रूप में अदालत में पेश किया है, मैलवेयर ईमेल, एसएमएस, स्थान ट्रैकिंग, नेटवर्क विवरण, डिवाइस सेटिंग्स और ब्राउज़िंग इतिहास डेटा तक भी पहुंच सकता है। यह सब लक्ष्य उपयोगकर्ता की जानकारी के बिना होता है।
पेगासस ब्रोशर में दावों के अनुसार, जो व्हाट्सएप ने तकनीकी प्रदर्शनी के रूप में अदालत में जमा किया है, यह मैलवेयर ईमेल, एसएमएस, स्थान ट्रैकिंग, नेटवर्क विवरण, डिवाइस सेटिंग्स और ब्राउज़िंग इतिहास डेटा तक भी पहुंच सकता है।
ब्रोशर के अनुसार पेगासस की अन्य प्रमुख विशेषताएं ये रहीं -
पासवर्ड के ज़रिए सुरक्षित डिवाइसेस तक पहुंचने की क्षमता, टारगेट के लिए पूरी तरह से पारदर्शी होना, डिवाइस पर कोई निशान नहीं छोड़ना, कम से कम बैटरी, मेमोरी और डेटा का भी कम से कम उपयोग करना ताकि अधिक सतर्क यूजर्स के मन में किसी भी प्रकार का संदेह न हो। इसमें, खुलासे का खतरा समझ आते ही खुद को नष्ट करने का तंत्र भी मौजूद है. गहरी जानकारी प्राप्त करने के लिए किसी भी फाइल को पुनः प्राप्त करने की क्षमता मौजूद है।
पेगासस: उत्पाद विवरण नामक ब्रोशर कहता है कि पेगासस ब्लैकबेरी, एंड्रॉइड, आईओएस (आईफोन) और सिम्बियन उपकरणों पर प्रभावी रूप से काम कर सकता है। अब बंद हो चुके सिम्बियन ऑपरेटिंग सिस्टम और अलोकप्रिय ब्लैकबेरी का नाम शामिल होने से पता चलता है कि पेगासस काफ़ी पुराना है, और इतने वर्षों में इसे निरंतर अपडेट किया गया है।
पेगासस और व्हाट्सएप विवाद कैसे शुरू हुआ?
अंग्रेजी अख़बार फाइनेंशियल टाइम्स की मई 2019 की रिपोर्ट के अनुसार, ऐप में केवल एक मिस्ड कॉल डिवाइस पर सॉफ़्टवेयर स्थापित करने के लिए पर्याप्त थी; भ्रामक लिंक पर भी क्लिक करने की आवश्यकता नहीं है। व्हाट्सएप ने बाद में समझाया कि पेगासस ने ऐप पर वीडियो / वॉयस कॉल फ़ंक्शन का फायदा उठाया था, जिसमें शून्य-दिन सुरक्षा दोष था। टारगेट ने फोन नहीं उठाया तो कोई बात नहीं - दोष के चलते मैलवेयर को वैसे भी स्थापित करने की अनुमति मिल जाती है।
क्या पेगासस का इस्तेमाल लगभग किसी को भी निशाना बनाने के लिए किया जा सकता है?
तकनीकी रूप से, हाँ। लेकिन बड़े पैमाने पर निगरानी के लिए पेगासस जैसे उपकरणों का इस्तेमाल किया जा सकता है। ऐसा लगता है कि केवल कुछ खास लोगों को ही निशाना बनाया जाता है। वर्तमान मामले में, व्हाट्सएप ने पुष्टि की है कि उसने लगभग 1,400 उपयोगकर्ताओं को एक विशेष संदेश भेजा था, जिसके बारे में उनका मानना था कि वे हमले से प्रभावित थे।
व्हाट्सएप ने यह नहीं बताया है कि उसने भारत में कितने लोगों से संपर्क किया। इंडियन एक्सप्रेस ने 2019 में बताया कि भारत में कंपनी द्वारा कम से कम दो दर्जन दलित शिक्षाविदों, वकीलों, कार्यकर्ताओं और पत्रकारों को सतर्क किया गया था।
अभी जानकारी नहीं है कि भारतीय ठिकानों की जासूसी किसने की। एनएसओ ग्रुप ने व्हाट्सएप के आरोपों पर सबसे मजबूत संभव शब्दों में चर्चा करते हुए कहा है कि यह विशेष रूप से लाइसेंस प्राप्त सरकारी खुफिया और कानून प्रवर्तन एजेंसियों को टूल प्रदान करता है, न कि केवल किसी को भी जो इसे चाहता है।
