Apple ने दशक पुराने iOS को जीरो-डे पैच किया, संभवतः वाणिज्यिक स्पाइवेयर द्वारा शोषण किया गया

Apple ने एक महत्वपूर्ण iOS शून्य-दिन की भेद्यता को संबोधित करते हुए एक आपातकालीन सुरक्षा पैच जारी किया है, जिसके बारे में सुरक्षा शोधकर्ताओं का मानना ​​है कि यह लगभग एक दशक से मौजूद है और हो सकता है कि इसे वाणिज्यिक स्पाइवेयर ऑपरेटरों द्वारा सक्रिय रूप से हथियार बनाया गया हो। यह दोष, जो अब iOS, iPadOS और macOS में ठीक हो गया है, हाल की स्मृति में सबसे महत्वपूर्ण मोबाइल सुरक्षा घटनाओं में से एक का प्रतिनिधित्व करता है, जो व्यक्तियों और व्यवसायों के लिए डिवाइस सुरक्षा के बारे में तत्काल प्रश्न उठाता है।

आईओएस ज़ीरो-डे भेद्यता ऐप्पल द्वारा हाल ही में पैच किया गया वास्तव में क्या था?

नए निर्दिष्ट सीवीई पहचानकर्ता के तहत ट्रैक की गई भेद्यता, आईओएस के कोरऑडियो और वेबकिट घटकों के भीतर गहराई से मौजूद है - दो हमले की सतहें ऐतिहासिक रूप से परिष्कृत खतरे वाले अभिनेताओं द्वारा पसंदीदा हैं। सिटीजन लैब और कैस्परस्की की ग्लोबल रिसर्च एंड एनालिसिस टीम (GReAT) के सुरक्षा विश्लेषकों ने ज्ञात वाणिज्यिक स्पाइवेयर बुनियादी ढांचे के अनुरूप संदिग्ध शोषण श्रृंखलाओं को चिह्नित किया, यह सुझाव देते हुए कि दोष पत्रकारों, कार्यकर्ताओं, राजनेताओं और व्यावसायिक अधिकारियों के खिलाफ चुनिंदा रूप से तैनात किया गया हो सकता है।

जो चीज़ इस खोज को विशेष रूप से चिंताजनक बनाती है वह है समयरेखा। फोरेंसिक विश्लेषण से पता चलता है कि अंतर्निहित बग को 2016 के आसपास iOS कोडबेस में पेश किया गया था, जिसका अर्थ है कि यह सैकड़ों सॉफ़्टवेयर अपडेट, डिवाइस जेनरेशन और अरबों डिवाइस-घंटे के उपयोग के दौरान चुपचाप बना रह सकता है। Apple ने अपनी सुरक्षा सलाह में पुष्टि की कि वह "एक रिपोर्ट से अवगत है कि इस मुद्दे का सक्रिय रूप से शोषण किया गया हो सकता है," कंपनी पुष्टि या अत्यधिक विश्वसनीय शोषण साक्ष्य के साथ कमजोरियों के लिए विशेष रूप से भाषा सुरक्षित रखती है।

वाणिज्यिक स्पाइवेयर इस तरह आईओएस ज़ीरो-डेज़ का कैसे फायदा उठाता है?

वाणिज्यिक स्पाइवेयर विक्रेता - एनएसओ ग्रुप (पेगासस के निर्माता), इंटेललेक्सा (प्रीडेटर) और कानूनी ग्रे जोन में काम करने वाली अन्य कंपनियां - ने बिल्कुल इसी प्रकार की भेद्यता के आसपास आकर्षक व्यवसाय बनाए हैं। उनका परिचालन मॉडल शून्य-क्लिक या एक-क्लिक कारनामे पर निर्भर करता है जो लक्ष्य के बिना कोई संदिग्ध कार्रवाई किए चुपचाप डिवाइस से समझौता करता है।

शोषण की इस श्रेणी के लिए संक्रमण श्रृंखला आम तौर पर एक पूर्वानुमानित पैटर्न का अनुसरण करती है:

प्रारंभिक एक्सेस वेक्टर: एक दुर्भावनापूर्ण iMessage, SMS, या ब्राउज़र लिंक बिना किसी उपयोगकर्ता इंटरैक्शन के भेद्यता को ट्रिगर करता है।

विशेषाधिकार वृद्धि: स्पाइवेयर आईओएस के सैंडबॉक्स सुरक्षा को पूरी तरह से दरकिनार करते हुए रूट एक्सेस हासिल करने के लिए द्वितीयक कर्नेल-स्तरीय दोष का फायदा उठाता है।

दृढ़ता और डेटा निष्कासन: एक बार ऊंचा हो जाने पर, इम्प्लांट वास्तविक समय में संदेश, ईमेल, कॉल लॉग, स्थान डेटा, माइक्रोफ़ोन ऑडियो और कैमरा फ़ीड एकत्र करता है।

गुप्त तंत्र: उन्नत स्पाइवेयर सक्रिय रूप से डिवाइस लॉग, बैटरी उपयोग रिकॉर्ड और तृतीय-पक्ष सुरक्षा स्कैन से खुद को छुपाता है।

कमांड-एंड-कंट्रोल संचार: डेटा को अज्ञात बुनियादी ढांचे के माध्यम से रूट किया जाता है, जो अक्सर नेटवर्क निगरानी से बचने के लिए वैध क्लाउड सेवा ट्रैफ़िक की नकल करता है।

वाणिज्यिक स्पाइवेयर बाजार - अब वैश्विक स्तर पर $12 बिलियन से अधिक का अनुमान है - फलता-फूलता है क्योंकि ये उपकरण अपने मूल देशों में तकनीकी रूप से कानूनी हैं और सरकारों को वैध अवरोधन प्लेटफार्मों के रूप में विपणन किया जाता है। वास्तविकता यह है कि प्रलेखित दुर्व्यवहार के मामले लगातार उन लक्ष्यों के विरुद्ध तैनाती दिखाते हैं जिनसे कोई वास्तविक आपराधिक खतरा नहीं होता है।

इस प्रकार की iOS भेद्यता से सबसे अधिक खतरा किसे है?

जबकि Apple का पैच अब सभी उपयोगकर्ताओं के लिए उपलब्ध है, जोखिम गणना आपकी प्रोफ़ाइल के आधार पर नाटकीय रूप से भिन्न होती है। उच्च-मूल्य वाले लक्ष्य - जिनमें सी-सूट अधिकारी, कानूनी पेशेवर, संवेदनशील बीट्स को कवर करने वाले पत्रकार और विलय, अधिग्रहण या संवेदनशील वार्ता में शामिल कोई भी शामिल है - को वाणिज्यिक स्पाइवेयर ऑपरेटरों के लिए सबसे बड़ा जोखिम का सामना करना पड़ता है, जो कथित तौर पर प्रति शोषण श्रृंखला $ 1 मिलियन से $ 8 मिलियन तक शून्य-दिवसीय एक्सेस शुल्क वहन कर सकते हैं।

"एक शून्य-दिवस जो जंगल में एक दशक तक जीवित रहता है, विकास विफलता नहीं है - यह एक खुफिया संपत्ति है। जिस क्षण इसे सही खरीदार द्वारा खोजा जाता है, यह प्रकटीकरण तक कोई प्रभावी काउंटर नहीं होने वाला एक हथियार बन जाता है।" - वरिष्ठ ख़तरा ख़ुफ़िया विश्लेषक, कैस्परस्की ग्रेट

बस के लिए

Related Posts

• सीएक्सएमटी मौजूदा बाजार दर से लगभग आधे पर डीडीआर4 चिप्स की पेशकश कर रहा है
• एचएन से पूछें: क्या अभी तक कोई एलएलएम लाइसेंस नहीं है?
• macOS का अल्प-ज्ञात कमांड-लाइन सैंडबॉक्सिंग टूल (2025)
• शेक्सपियर के 'टेम्पेस्ट' के लिए एक दृश्य स्रोत