వాట్సాప్‌ సాఫ్ట్‌వేర్‌లో సమస్య: మొబైల్ ఫోన్లపై హ్యాకర్ల దాడి.. రహస్యంగా నిఘా.. లేటెస్ట్ వెర్షన్ అప్‌డేట్ చేసుకున్నారా?

వాట్సాప్‌లోని ఒక పెద్ద లోపాన్ని ఉపయోగించుకుని వినియోగదారుల ఫోన్లు, డివైజ్‌ల మీద హ్యాకర్లు దాడి చేశారన్న విషయం నిర్థరణ అయింది. వినియోగదార్ల ఫోన్లలో వాట్సాప్ ద్వారా నిఘా సాఫ్ట్‌వేర్‌ను ఇన్‌స్టాల్ చేయగలిగారని వాట్సాప్ సంస్థ వెల్లడించింది.

భారతదేశంలో విరివిగా ఉపయోగిస్తున్న వాట్సాప్ అప్లికేషన్ ఇప్పుడు ఫేస్‌బుక్ యాజమాన్యంలో ఉన్న విషయం తెలిసిందే.

హ్యాకర్లు ''నిర్దిష్ట సంఖ్య''లోని కొందరు వినియోగదారులను లక్ష్యంగా చేసుకుని ఈ దాడికి పాల్పడ్డారని వాట్సాప్ తెలిపింది. ఈ దాడికి అత్యాధునిక సైబర్ నిపుణులు ప్రణాళిక రచించారని పేర్కొంది.

అయితే.. ఇజ్రాయెల్ భద్రతా సంస్థ ఎన్‌ఎస్ఓ గ్రూప్ ఈ దాడిని అభివృద్ధి చేసిందని ఫైనాన్షియల్ టైమ్స్ కథనం చెప్తోంది.

వాట్సాప్‌లో హ్యాకర్ల దాడికి కారణమైన లోపాన్ని సరిచేయటానికి శుక్రవారం నాడు అప్‌డేట్ విడుదల చేశారు.

అదనపు ముందుజాగ్రత్త చర్యగా తమ అప్లికేషన్లను అప్‌డేట్ చేసుకోవాలని వాట్సాప్ తన 150 కోట్ల మంది వినియోగదారులకు విజ్ఞప్తి చేసింది.

వాట్సాప్‌ను ఉపయోగించుకుని హ్యాకర్లు దాడి చేయటాన్ని ఈ నెల ఆరంభంలో మొదటిసారి గుర్తించారు.

వాట్సాప్‌లో మెసేజ్‌లు ఎండ్-టు-ఎండ్ ఎన్‌స్క్రిప్ట్ అయివుంటాయని, కాబట్టి తమది ''సురక్షితమైన'' సమాచార అప్లికేషన్ అని ఆ సంస్థ ప్రచారం చేస్తుంటుంది.

ఎండ్-టు-ఎండ్ ఎన్‌స్క్రిప్ట్ అయితే.. ఆ మెసేజ్‌లు పంపించిన వారి డివైజ్ లేదా అందుకున్న వారి డివైజ్‌లో మాత్రమే చదవగల రూపంలో కనిపిస్తాయి.

అయితే.. హ్యాకర్లు రహస్యంగా ఇన్‌స్టాల్ చేసిన నిఘా సాఫ్ట్‌వేర్ ద్వారా వారు లక్ష్యంగా చేసుకున్న డివైజ్‌లో మెసేజ్‌లను చదవటానికి వీలు కలిగివుండొచ్చు.

''జర్నలిస్టులు, లాయర్లు, ఉద్యమకారులు, మానవ హక్కుల కార్యకర్తలు'' ప్రధానంగా ఈ దాడిలో లక్ష్యంగా ఉండి ఉంటారని 'కమిటీ టు ప్రొటెక్ట్ జర్నలిస్ట్స్' అనే స్వచ్ఛంద సంస్థ ప్రతినిధి అహ్మద్ జిదాన్ పేర్కొన్నారు.

వాట్సాప్‌ను అప్‌డేట్ చేసుకోవటం ఎలా?

ఆండ్రాయిడ్‌లో

ఆండ్రాయిడ్‌లో వాట్సాప్ తాజా వెర్షన్ 2.19.134

ఐఓఎస్‌లో

ఐఓఎస్‌లో వాట్సాప్ లేటెస్ట్ వెర్షన్ 2.19.51

ఈ రక్షణ లోపాన్ని ఎలా ఉపయోగించుకున్నారు?

లక్ష్యంగా చేసుకున్న ఒక డివైజ్‌కి రింగ్ చేయటానికి వాట్సాప్‌‌లోని వాయిస్ కాలింగ్ ఫంక్షన్‌ను హ్యాకర్లు ఉపయోగించుకున్నారు.

ఆ కాల్ స్వీకరించకపోయినప్పటికీ.. నిఘా సాఫ్ట్‌వేర్‌ ఇన్‌స్టాల్ అవుతుంది. అందుకోసం చేసిన కాల్ వివరాలు.. ఆ తర్వాత సదరు డివైజ్ కాల్ లిస్ట్ నుంచి మాయమవుతాయని ఎఫ్‌టీ కథనం వివరించింది.

ఈ లోపాన్ని మొదటిగా తమ భద్రతా బృందం గుర్తించిందని వాట్సాప్ బీబీసీతో పేర్కొంది. ఆ సమాచారాన్ని ఈ నెల మొదట్లో మానవ హక్కుల సంస్థలకు, ఎంపిక చేసిన సెక్యూరిటీ వెండర్లకు, అమెరికా న్యాయశాఖకు అందించామని కూడా తెలిపింది.

''మొబైల్ ఫోన్ ఆపరేటింగ్ సిస్టమ్‌ల ఫంక్షన్ల మీద పనిచేసే స్పైవేర్ (నిఘా సాంకేతిక పరిజ్ఞానం)ను తయారుచేసి ఇవ్వటానికి ప్రభుత్వాలతో కలిసి పనిచేస్తుందని చెప్పే ఒక ప్రైవేట్ కంపెనీ ప్రధాన లక్షణాలన్నీ ఈ దాడిలో కనిపించాయి'' అని వాట్సాప్ సోమవారం నాడు విలేకరులకు వివరిస్తూ పంపిన ఒక పత్రంలో చెప్పింది.

భద్రతా నిపుణులకు కొన్ని సూచనలను కూడా వాట్సాప్ ప్రచురించింది. ''ప్రత్యేకంగా తయారుచేసిన ఎస్ఆర్‌టీసీపీ (సెక్యూర్ రియల్-టైమ్ ట్రాన్స్‌పోర్ట్ ప్రొటోకాల్) పాకెట్స్ సిరీస్‌ ద్వారా లక్ష్యంగా చేసుకున్న ఫోన్ నంబర్‌‌లో రిమోట్‌గా కోడ్ ఎగ్జిక్యూట్ చేయటానికి వాట్సాప్ వీఓఐపీ (వాయిస్ ఓవర్ ఇంటర్నెట్ ప్రొటోకాల్)లో బఫర్ ఓవర్‌ఫ్లో లోపం వీలు కల్పించింది’’ అని అందులో వివరించింది.

‘‘ఇది చాలా పాత కాలపు తరహా దాడి పద్ధతి’’ అని యూనివర్సిటీ ఆఫ్ సర్రీ ప్రొఫెసర్ అలాన్ ఉడ్‌వర్డ్ అభివర్ణించారు.

‘‘బఫర్ ఓవర్‌ఫ్లోలో యాప్‌కి వాస్తవంగా అవసరమైన దానికన్నా ఎక్కువ మెమొరీని కేటాయిస్తారు. కాబట్టి ఆ మెమరీలో స్పేస్ మిగిలి ఉంటుంది. ఆ యాప్ ద్వారా ఏదైనా కోడ్‌ను పంపించగలిగితే.. ఆ స్పేస్‌లో మీ సొంత కోడ్‌ను రన్ చేయవచ్చు’’ అని ఆయన వివరించారు.

‘‘వీఓఐపీలో డయల్ చేసి, కాల్ ఎస్టాబ్లిష్ చేసే మొదటి ప్రక్రియ ఒకటి ఉంటుంది.. లోపం ఈ ముక్కలోనే ఉంది. దీనిఫలితం.. ఆ దాడి సఫలం కావటానికి కాల్‌కు ఆన్సర్ చేయాల్సిన అవసరం కూడా లేదు’’ అని చెప్పారు.

వాట్సాప్ తాజా అప్‌డేట్‌తో పాటు ఇచ్చిన నోట్స్‌లో ఈ లోపం, దానిని సరిచేయటం గురించి వివరాలు ఎందుకు లేవని కొందరు యూజర్లు ప్రశ్నించారు.

ఈ సాఫ్ట్‌వేర్ వెనుక ఎవరున్నారు?

ఎన్ఎస్ఓ గ్రూప్ అనేది ఇజ్రాయెల్‌కు చెందిన ఓ కంపెనీ. గతంలో దీనిని 'సైబర్ ఆయుధాల డీలర్'గా ప్రస్తావించారు. లండన్ కేంద్రంగా ఉన్న ప్రైవేట్ ఈక్విటీ సంస్థ నోవాల్పినా క్యాపిటల్ కూడా ఈ సంస్థలో గత ఫిబ్రవరిలో కొంత వాటా కొనుగోలు చేసింది.

ఎన్ఎస్ఓ ప్రధాన సాఫ్ట్‌వేర్ 'పెగాసస్'.. లక్ష్యంగా చేసుకున్న డివైజ్ నుంచి సున్నితమైన సమాచారం సేకరించగలదు. ఆ డివైజ్ మైక్రోఫోన్ నుంచి, కెమెరా నుంచి, లొకేషన్ డాటా కూడా సమాచారం క్యాప్చర్ చేస్తుంది.

''ఎన్ఎస్ఓ టెక్నాలజీని నేరాలు, ఉగ్రవాదంపై పోరాటం కోసం మాత్రమే అధీకృత ప్రభుత్వ సంస్థలకు లైసెన్స్ ఇవ్వటం జరిగింది'' అని ఆ సంస్థ ఒక ప్రకటనలో పేర్కొంది.

''ఆ సిస్టమ్‌ని మా కంపెనీ ఆపరేట్ చేయదు. పటిష్టమైన లైసెన్స్ విధానం అనంతరం ఆ టెక్నాలజీని ప్రజా భద్రత కార్యక్రమాలకు ఎలా ఉపయోగించాలన్నది నిఘా, పోలీసు విభాగాలు నిర్ణయిస్తాయి'' అని వివరించింది.

''దీనిని దుర్వినియోగం చేసినట్లు ఏవైనా విశ్వసనీయ ఆరోపణలు ఉన్నట్లయితే వాటిపై దర్యాప్తు చేస్తాం. అవసరమైతే ఆ సిస్టమ్‌ని మూసివేయటం సహా తగిన చర్యలు చేపడతాం'' అని చెప్పింది.

''ఎన్ఎస్ఓ సంస్థ టెక్నాలజీని నిఘా, భద్రతా సంస్థలు మాత్రమే ఆపరేట్ చేస్తాయి. ఈ టెక్నాలజీ ఆపరేషన్‌లో కానీ, ఇది దీని లక్ష్యాలను గుర్తించటంలో కానీ ఎన్‌ఎస్ఓ ఎటువంటి పరిస్థితుల్లోనూ పాలుపంచుకోదు. ఏ వ్యక్తిని లేదా సంస్థను లక్ష్యంగా చేసుకోవటానికి ఎన్‌ఎస్ఓ తన టెక్నాలజీని ఉపయోగించదు, ఉపయోగించజాలదు'' అని కూడా వివరించింది.

ఎవరిని లక్ష్యంగా చేసుకుని హ్యాకింగ్ దాడులు జరిగాయి?

అప్లికేషన్‌లోని లోపం వల్ల ఎంత మంది యూజర్లు ప్రభావితమై ఉంటారన్నది ఇప్పుడే తెలియదని వాట్సాప్ పేర్కొంది. అయితే.. అనుమానిత దాడులు అత్యంత కేంద్రీకృత లక్ష్యాలపై జరిగినట్లు చెప్పింది.

ఎన్ఎస్ఓ గ్రూప్ సృష్టించిన టూల్స్‌తో తమను లక్ష్యంగా చేసుకుని సైబర్ దాడులు జరిగాయని ఆమ్నెస్టీ ఇంటర్నేషనల్ గతంలో పేర్కొంది. ప్రస్తుత ఉదంతంపై స్పందిస్తూ.. ఇటువంటి సైబర్ దాడి సాధ్యమేనని మానవ హక్కుల సంస్థలు చాలా కాలంగా భయపడుతున్నాయని వ్యాఖ్యానించింది.

''మనం ఏమీ చేయకుండానే మన ఫోన్లలో చొరబడగలిగారు'' అని ఆమ్నెస్టీ టెక్ డిప్యూటీ ప్రోగ్రామ్ డైరెక్టర్ డానా ఇంగిల్టన్ పేర్కొన్నారు. ప్రముఖ ఉద్యమకారులు, పాత్రికేయుల మీద నిఘా కోసం ప్రభుత్వాలు ఈ టూల్స్ ఉపయోగిస్తున్నాయనేందుకు ఆధారాలు చాలా ఉన్నాయని ఆమె చెప్పారు.

''దీనికి ఎవరైనా బాధ్యత వహించాలి. ఇదేదో రహస్య పరిశ్రమలా అలా కొనసాగిపోతూ ఉండటానికి వీలులేదు'' అని అభిప్రాయపడ్డారు.

ఎన్ఎస్ఓ గ్రూప్ ఉత్పత్తులను ఎగుమతి చేయటానికి ఇచ్చిన లైసెన్స్‌ను ఉపసంహరించాలని ఇజ్రాయెల్ రక్షణ మంత్రిత్వశాఖను కోరుతూ ఆమ్నెస్టీ ఇంటర్నేషనల్ సారథ్యంలో దాఖలైన ఒక పిటిషన్‌ను టెల్ అవీవ్‌లోని ఒక కోర్టు మంగళవారం విచారించనుంది.

ఇవి కూడా చదవండి.

(బీబీసీ తెలుగును ఫేస్‌బుక్, ఇన్‌స్టాగ్రామ్‌, ట్విటర్‌లో ఫాలో అవ్వండి. యూట్యూబ్‌లో సబ్‌స్క్రైబ్ చేయండి.)