भारतीय साइबर एजेंसी ने व्हाट्सएप को ‘हाईजैक’ बताया

by

नई दिल्ली, भारतीय साइबर सुरक्षा एजेंसी CERT-In ने व्हाट्सएप “डिवाइस-लिंकिंग” सुविधा में एक भेद्यता को चिह्नित किया है जो हमलावरों को वेब संस्करण पर वास्तविक समय के संदेशों, फ़ोटो और वीडियो तक पहुंच सहित खाते का “पूर्ण” नियंत्रण लेने में सक्षम बनाता है।

भारतीय साइबर एजेंसी ने व्हाट्सएप को 'हाईजैक' बताया
भारतीय साइबर एजेंसी ने व्हाट्सएप को ‘हाईजैक’ बताया

एजेंसी ने शुक्रवार को एक एडवाइजरी में इस मुद्दे को “घोस्टपेयरिंग” नाम दिया, जिसे पीटीआई ने एक्सेस किया है।

“यह बताया गया है कि दुर्भावनापूर्ण अभिनेता प्रमाणीकरण आवश्यकता के बिना पेयरिंग कोड का उपयोग करके खातों को हाईजैक करने के लिए व्हाट्सएप की डिवाइस-लिंकिंग सुविधा का शोषण कर रहे हैं।

सलाहकार ने कहा, “घोस्टपेयरिंग नामक यह नया पहचाना गया साइबर अभियान साइबर अपराधियों को पासवर्ड या सिम स्वैप की आवश्यकता के बिना व्हाट्सएप खातों पर पूर्ण नियंत्रण लेने में सक्षम बनाता है।”

खुलासे पर व्हाट्सएप की प्रतिक्रिया का इंतजार है।

भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम साइबर हमलों से निपटने और भारतीय इंटरनेट क्षेत्र की सुरक्षा के लिए राष्ट्रीय प्रौद्योगिकी शाखा है।

एडवाइजरी में कहा गया है कि “उच्च” गंभीरता का हमला अभियान आमतौर पर पीड़ित को “विश्वसनीय” संपर्क से “हाय, इस फोटो की जांच करें” जैसा संदेश मिलने के साथ शुरू होता है।

संदेश में फेसबुक-शैली पूर्वावलोकन वाला एक लिंक है। लिंक एक “नकली” फेसबुक व्यूअर की ओर ले जाता है जो उपयोगकर्ताओं को सामग्री देखने के लिए “सत्यापित” करने के लिए प्रेरित करता है। एडवाइजरी में कहा गया है कि यहां हमलावर व्हाट्सएप के “फोन नंबर के माध्यम से लिंक डिवाइस” सुविधा का फायदा उठाकर बिना सोचे-समझे उपयोगकर्ताओं को उनके फोन नंबर दर्ज करने के लिए प्रेरित करते हैं।

इस तरह, पीड़ित “अनजाने में” हमलावरों को अपने व्हाट्सएप खातों तक पूर्ण पहुंच प्रदान करते हैं।

‘घोस्टपेयरिंग’ हमला उपयोगकर्ताओं को एक प्रामाणिक दिखने वाले पेयरिंग कोड का उपयोग करके, एक अतिरिक्त विश्वसनीय और छिपे हुए डिवाइस के रूप में हमलावर के ब्राउज़र तक पहुंच प्रदान करने के लिए प्रेरित करता है।

एडवाइजरी में कहा गया है कि एक बार जब हमलावर अपने डिवाइस को लिंक करता है, तो उसे लगभग वही एक्सेस मिलता है जो पीड़ित को व्हाट्सएप वेब पर मिलता है।

सलाहकार ने कहा, वे अपने डिवाइस से सिंक होने वाले संदेशों को पढ़ सकते हैं, वास्तविक समय में नए संदेश प्राप्त कर सकते हैं, फोटो, वीडियो और वॉयस नोट्स देख सकते हैं और वे पीड़ित के संपर्कों और समूह चैट पर संदेश भेज सकते हैं।

एजेंसी ने ऐसे प्रति-उपाय सुझाए जैसे संदिग्ध लिंक पर क्लिक न करना, भले ही वे ज्ञात संपर्कों से आए हों और व्हाट्सएप या फेसबुक होने का दावा करने वाली बाहरी साइटों पर किसी का फोन नंबर दर्ज न करना।

यह लेख पाठ में कोई संशोधन किए बिना एक स्वचालित समाचार एजेंसी फ़ीड से तैयार किया गया था।

Leave a Comment