अब तक कहानी: वाशिंगटन पोस्ट और मानवाधिकार गैर-लाभकारी एमनेस्टी इंटरनेशनल ने आरोप लगाया है कि पेगासस नामक स्पाइवेयर उदाहरण का उपयोग जारी है, इस अवसर पर भारत में पत्रकारों को निशाना बनाया जा रहा है। बाद वाले संगठन की सुरक्षा लैब से मिले नए डेटा के आधार पर, दोनों संगठनों ने ऑनलाइन समाचार पोर्टल के संस्थापक संपादक के फोन की सूचना दी है। तार, सिद्धार्थ वरदराजन, और संगठित अपराध और भ्रष्टाचार रिपोर्ट परियोजना (ओसीसीआरपी) के दक्षिण एशिया संपादक आनंद मंगनाले स्पाइवेयर से संक्रमित थे। कथित घुसपैठ की पहचान अक्टूबर 2023 में एक फोरेंसिक विश्लेषण के बाद की गई थी, और फोन निर्माता ऐप्पल ने कुछ संसद सदस्यों सहित अपने उपयोगकर्ताओं को सुरक्षा अधिसूचनाएं जारी की थीं, कि उनके आईफ़ोन को “राज्य-प्रायोजित हमलावरों” द्वारा लक्षित किया जा रहा था।
अक्टूबर में Apple द्वारा सांसदों सहित कुछ iPhone उपयोगकर्ताओं के लिए एक सुरक्षा अधिसूचना जारी करने के बाद, एमनेस्टी इंटरनेशनल की सुरक्षा लैब के शोधकर्ताओं ने कथित रूप से संक्रमित उपकरणों का विश्लेषण किया, जिनमें श्री वरदराजन और श्री मंगनाले के डिवाइस भी शामिल थे। अपनी जांच के अंत में, उन्होंने अपने संबंधित उपकरणों पर पेगासस की गतिविधि के निशान मिलने की सूचना दी।
सुरक्षा लैब ने निष्कर्ष निकाला कि “शून्य-क्लिक शोषण” की सुविधा के लिए एक संदेश 23 अगस्त को श्री मंगनाले के फोन पर उनके iPhone के iMessage ऐप पर भेजा गया था। (iMessage एसएमएस भेजने/प्राप्त करने के साथ-साथ अन्य iPhone के साथ चैट करने के लिए एक iPhone ऐप है) उपयोगकर्ता।) एक बार प्राप्त होने के बाद, संदेश को डिवाइस पर गुप्त रूप से पेगासस इंस्टॉल करने के लिए डिज़ाइन किया गया था।
एमनेस्टी की एक रिपोर्ट में कहा गया है, “आनंद मंगनाले के फोन को निशाना बनाने की कोशिश उस समय हुई जब वह भारत में एक बड़े बहुराष्ट्रीय समूह द्वारा कथित स्टॉक हेरफेर के बारे में एक कहानी पर काम कर रहे थे।”
श्री वरदराजन को कथित तौर पर 16 अक्टूबर को पेगासस से निशाना बनाया गया था। एमनेस्टी शोधकर्ताओं के विश्लेषण के अनुसार, हमलावर ने श्री वरदराजन और श्री मंगनाले दोनों को निशाना बनाने के लिए एक ही ईमेल पते का उपयोग किया था: natalymarinnova@proton.me।
शून्य-क्लिक शोषण क्या है?
ज़ीरो-क्लिक एक्सप्लॉइट दुर्भावनापूर्ण सॉफ़्टवेयर है जो डिवाइस स्वामी की सहमति के बिना किसी डिवाइस पर स्पाइवेयर इंस्टॉल करने की अनुमति देता है। इससे भी महत्वपूर्ण बात यह है कि डिवाइस मालिक को इंस्टॉलेशन शुरू करने या पूरा करने के लिए कोई कार्रवाई करने की आवश्यकता नहीं है। तुलना करने के लिए, नियमित ऐप्स को इंस्टॉलेशन पूरा करने के लिए उपयोगकर्ता को ‘इंस्टॉल’, ‘पुष्टि करें’ आदि पर क्लिक करने की आवश्यकता हो सकती है।
कथित तौर पर दो उपकरणों पर उपयोग में आने वाले विशिष्ट शोषण को “ब्लास्टपास” कहा जाता है (पहले इसे “ब्लास्टपास” के रूप में पहचाना जाता था)। यह दो चरणों में चलता है। पहले में, हमला Apple HomeKit के साथ एक लिंक स्थापित करने का प्रयास करता है – जो उपयोगकर्ताओं को लक्ष्य के डिवाइस पर कई स्मार्ट उपकरणों को नियंत्रित करने का एक तरीका देता है। दूसरे में, कुछ दुर्भावनापूर्ण सामग्री iMessage ऐप के माध्यम से लक्ष्य तक भेजी जाती है। एमनेस्टी के अनुसार, पहले चरण – ‘आउटरीच’ – का उद्देश्य यह निर्धारित करना हो सकता है कि डिवाइस का उपयोग कैसे किया जा सकता है या इसे भविष्य में और अधिक उपयोग के लिए दृष्टि में रखा जा सकता है। दूसरा चरण वह है जो पूर्ण स्पाइवेयर “पेलोड” वितरित करता है।
एमनेस्टी के अनुसार, पहले चरण – ‘आउटरीच’ – का उद्देश्य यह निर्धारित करना हो सकता है कि डिवाइस का उपयोग कैसे किया जा सकता है या भविष्य में इसे और अधिक उपयोग के लिए ध्यान में रखा जा सकता है। दूसरा चरण वह है जो पूर्ण स्पाइवेयर “पेलोड” वितरित करता है।
एमनेस्टी की रिपोर्ट में कहा गया है, “इस मामले में देखी गई दो-चरणीय हमले की प्रक्रिया सिटीजन लैब द्वारा वर्णित और सुरक्षा लैब द्वारा स्वतंत्र रूप से देखे गए पिछले PWNYOURHOME पेगासस अटैक वेक्टर के समान है।”
कथित हमले के समय श्री मंगनाले का फ़ोन शोषण के प्रति संवेदनशील था। हालाँकि, श्री वरदराजन नहीं थे, क्योंकि तब तक Apple ने इस तरह की घुसपैठ से निपटने के लिए अपना 16.6.1 सुरक्षा अपडेट जारी कर दिया था। हालाँकि, दोनों मामलों में, कथित तौर पर पेगासस द्वारा उपकरणों को सफलतापूर्वक ‘संक्रमित’ करने के सबूत नहीं मिले हैं।
पेगासस के निर्माता ने कैसे प्रतिक्रिया दी है?
वाशिंगटन पोस्ट इजरायली कंपनी एनएसओ, जो पेगासस बनाती और वितरित करती है, के एक बयान का हवाला देते हुए कहा कि हालांकि एनएसओ विशिष्ट ग्राहकों पर टिप्पणी नहीं कर सकता है, लेकिन यह फिर से “(जोर देता है) कि वे सभी सत्यापित कानून प्रवर्तन और खुफिया एजेंसियां हैं जो हमारी प्रौद्योगिकियों को लाइसेंस देती हैं।” आतंक और बड़े अपराध से लड़ना ही एकमात्र उद्देश्य है।”
बयान में कथित तौर पर कहा गया है कि कंपनी की नीतियां और अनुबंध उन पत्रकारों, वकीलों और मानवाधिकार रक्षकों या राजनीतिक असंतुष्टों को निशाना बनाने से बचने के लिए तंत्र प्रदान करते हैं जो आतंक या गंभीर अपराधों में शामिल नहीं हैं। एनएसओ ने कहा, “कंपनी को न तो लक्ष्यों का पता है, न ही एकत्रित की गई खुफिया जानकारी का।”
अब तक क्या-क्या हुआ?
जुलाई 2021 में, पत्रकारों का एक अंतर्राष्ट्रीय सहयोग – जिसमें शामिल है तार भारत में, अभिभावक ब्रिटेन में, और वाशिंगटन पोस्ट अमेरिका में – जिसे ‘पेगासस प्रोजेक्ट’ कहा जाता है, ने बताया कि भारत में कम से कम 40 पत्रकारों, कैबिनेट मंत्रियों और संवैधानिक पदों के धारकों पर संभवतः पेगासस का उपयोग करके सर्वेक्षण किया गया था। उनकी रिपोर्टें लगभग 50,000 फोन नंबरों के डेटाबेस पर आधारित थीं जिनका पेरिस के गैर-लाभकारी संगठन फॉरबिडन स्टोरीज़ और एमनेस्टी इंटरनेशनल ने खुलासा किया था। कथित तौर पर ये नंबर एनएसओ समूह के ग्राहकों के लिए रुचिकर थे।
उस वर्ष अक्टूबर में, सुप्रीम कोर्ट ने इन रिपोर्टों के आरोपों की जांच के लिए एक समिति गठित की। समिति ने अगस्त 2022 में अपनी रिपोर्ट प्रस्तुत की; इसके निष्कर्षों को अभी तक सार्वजनिक नहीं किया गया है। फिर भी समिति ने कहा कि भारत सरकार ने उसके मिशन में “सहयोग नहीं किया”।
‘पेगासस प्रोजेक्ट’ के खुलासे के मद्देनजर, कार्यकर्ताओं ने सुप्रीम कोर्ट में कई याचिकाएं दायर कीं, जिसमें सरकार द्वारा मुक्त भाषण और लोकतांत्रिक असहमति को दबाने के लिए बड़े पैमाने पर निगरानी अभ्यास का आरोप लगाया गया। जवाब में, शीर्ष अदालत ने केंद्र से पेगासस के उपयोग के संबंध में एक विस्तृत हलफनामा दाखिल करने को कहा। हालाँकि, केंद्र ने यह कहते हुए अनुपालन करने से इनकार कर दिया कि इस तरह का सार्वजनिक हलफनामा देश की राष्ट्रीय सुरक्षा से समझौता करेगा।