लोग व्हाट्सएप या टेलीग्राम जैसी एंड-टू-एंड एन्क्रिप्शन वाली सुरक्षित मैसेजिंग सेवाओं का उपयोग करते हैं क्योंकि उनका मानना है कि वे अपने संदेशों और उपकरणों को अधिक सुरक्षित रखेंगे। हालांकि यह आम तौर पर सच है, इन ऐप्स के साथ सुरक्षा समस्याएं हैं जिनके बारे में उपयोगकर्ताओं को जागरूक होने की आवश्यकता है।
हाल ही में, व्हाट्सएप और टेलीग्राम चलाने वाले एंड्रॉइड डिवाइस पर मीडिया फाइल जैकिंग नामक एक कारनामे का खुलासा हुआ है। यदि आप इनमें से किसी भी ऐप का उपयोग करते हैं, तो आपको अपनी और अपने डिवाइस की सुरक्षा के लिए कुछ कदम उठाने होंगे।
मीडिया फ़ाइलें एक सुरक्षा जोखिम कैसे हैं?
सुरक्षा फर्म सिमेंटेक ने भेद्यता की घोषणा की, जिसका उपयोग नकली समाचार फैलाने या उपयोगकर्ताओं को गलत पते पर भुगतान भेजने के लिए किया जा सकता है। यह उस सिस्टम के माध्यम से काम करता है जो मैसेजिंग ऐप्स को मीडिया फ़ाइलें प्राप्त करने की अनुमति देता है, जैसे कि जब कोई मित्र आपको ऐप का उपयोग करके कोई फ़ोटो या वीडियो भेजता है।
फ़ाइल प्राप्त करने के लिए, आपके एंड्रॉइड डिवाइस में बाहरी संग्रहण अनुमतियों को लिखने की आवश्यकता होती है। इसका मतलब है कि ऐप आपके पास भेजी गई फ़ाइल को ले सकता है और इसे आपके डिवाइस के एसडी कार्ड में सहेज सकता है।
आदर्श रूप से, टेलीग्राम या व्हाट्सएप जैसे ऐप्स को केवल आंतरिक संग्रहण पर लिखने की अनुमति होगी। इसका मतलब है कि फाइलों को ऐप के भीतर देखा जा सकता है लेकिन अन्य ऐप द्वारा एक्सेस नहीं किया जा सकता है। लेकिन इसका मतलब यह होगा कि अगर कोई आपको एक फोटो भेजता है, तो आप उसे अपने कैमरा गैलरी में अपने आप नहीं देख सकते।
व्हाट्सएप फाइलों को डिफॉल्ट रूप से बाहरी स्टोरेज में सेव करता है। "गैलरी में सहेजें" विकल्प सक्षम होने पर टेलीग्राम एसडी कार्ड में फ़ाइलें सहेजता है।
मीडिया फाइल जैकिंग क्या है?
हमला उस प्रक्रिया को बाधित करके काम करता है जिसके द्वारा एक मैसेजिंग ऐप मीडिया फ़ाइलों को सहेजता है।
सबसे पहले, एक उपयोगकर्ता एक नि:शुल्क गेम जैसे निर्दोष दिखने वाले ऐप को डाउनलोड करता है, लेकिन वास्तव में मैलवेयर छिपा होता है जो उनके डिवाइस की पृष्ठभूमि में चलता है।
अब, उपयोगकर्ता अपने मैसेजिंग ऐप पर जाता है। यदि ऐप मीडिया फ़ाइलों को बाहरी संग्रहण में सहेजता है, तो दुर्भावनापूर्ण ऐप फ़ाइलों को उस समय लक्षित कर सकता है जब वे हार्ड ड्राइव में सहेजे जाते हैं और जिस समय वे ऐप में प्रदर्शित होते हैं।
<केंद्र>
छवि क्रेडिट:सिमेंटेक यह एक मैन-इन-द-बीच हमले के समान है। दुर्भावनापूर्ण ऐप बाहरी संग्रहण में किसी भी बदलाव के लिए आपके डिवाइस की निगरानी करता है और जब यह किसी परिवर्तन का पता लगाता है तो यह कदम उठाता है। एक बार जब आपके मैसेजिंग ऐप से आपके डिवाइस में एक वास्तविक फ़ाइल सहेजी जाती है, तो दुर्भावनापूर्ण ऐप उस फ़ाइल में कदम रखता है और उस फ़ाइल को अपनी फ़ाइल से अधिलेखित कर देता है। फिर नकली फ़ाइल आपके मैसेजिंग ऐप में प्रदर्शित होती है।
यह छवियों और ऑडियो फ़ाइलों के लिए काम करता है। यह मैसेजिंग ऐप में थंबनेल को भी स्वैप कर देता है, इसलिए उपयोगकर्ताओं को पता नहीं है कि वे जो फाइल खोल रहे हैं वह वह फाइल नहीं है जो उनके संपर्क ने उन्हें भेजी थी।
किस प्रकार की जानकारी में हेर-फेर किया जा सकता है?
इसका दुरुपयोग कैसे किया जा सकता है इसका एक उदाहरण एक विक्रेता है जो एक ग्राहक को चालान भेजने के लिए व्हाट्सएप या टेलीग्राम का उपयोग करता है। अगर क्लाइंट के डिवाइस में मैलवेयर है, तो वह असली इनवॉइस को नकली के लिए स्वैप कर सकता है। नकली चालान में विक्रेता के बैंक विवरण के बजाय घोटालेबाज के बैंक विवरण होते हैं।
क्लाइंट तब स्कैमर को चालान की राशि का भुगतान करेगा। उन्हें कभी पता नहीं चलेगा कि उन्हें बरगलाया जा रहा है। जहां तक ग्राहक को पता होगा, वे अपने विक्रेता से एक नियमित चालान देखेंगे और इस पर भरोसा न करने का कोई कारण नहीं होगा।
अन्य व्यक्तिगत और व्यावसायिक दस्तावेज़ भी जोखिम में हो सकते हैं। शोषण व्यक्तिगत फ़ोटो या वीडियो, वॉयस मेमो या व्यावसायिक दस्तावेज़ों में हेरफेर कर सकता है। यह अनुपयुक्त छवियों के लिए ऐप्स के माध्यम से भेजे गए फ़ोटो को स्वैप करने जैसा कुछ छोटा हो सकता है। या यह कुछ अधिक परिष्कृत हो सकता है जैसे कि एक व्यावसायिक कार्यकारी जो अपने फोन पर एक वॉयस मेमो सहेजता है और उसे ट्रांसक्रिप्शन के लिए एक सचिव को भेजता है।
वॉयस मेमो को बदला जा सकता है ताकि हमलावर कुछ भी कह सकें, जिससे अराजकता हो सकती है।
यह स्थिति विशेष रूप से चिंताजनक है क्योंकि लोगों को विश्वास हो गया है कि एंड-टू-एंड एन्क्रिप्शन वाली सेवाओं का उपयोग करके वे जो संदेश भेजते हैं, वे सुरक्षित हैं। बहुत से लोग जानते हैं कि एसएमएस संदेश या ईमेल नकली हो सकते हैं। इसलिए वे एक घोटाले की तलाश में हैं, भले ही कोई संदेश किसी ऐसे व्यक्ति का हो जिसे वे जानते हों। लेकिन लोग एन्क्रिप्टेड मैसेजिंग पर भरोसा करते हैं। वे संभावित सुरक्षा खतरे के बारे में इतने जागरूक नहीं हैं जो इन ऐप्स द्वारा उत्पन्न किया जा सकता है।
कैसे मीडिया फाइल जैकिंग फेक न्यूज फैला सकता है?
एक अप्रत्याशित समस्या जो इस हमले का कारण बन सकती है वह है नकली समाचार फैलाना। बहुत से लोग चैनल नामक टेलीग्राम सुविधा का उपयोग करते हैं। चैनल ऐसे मंच हैं जिनके माध्यम से एक व्यवस्थापक ग्राहकों के एक बड़े समूह को संदेश भेज सकता है। कुछ लोग इसका उपयोग समाचार फ़ीड के रूप में करते हैं, अपने टेलीग्राम ऐप के भीतर एक विश्वसनीय चैनल से दैनिक समाचार देखते हैं।
चिंता की बात यह है कि मीडिया फाइल जैकिंग का इस्तेमाल न्यूज चैनलों में दखल देने के लिए किया जा सकता है। एक विश्वसनीय समाचार चैनल व्यवस्थापक एक समाचार-योग्य छवि भेजता है। फिर उस छवि को रिसीवर के फोन पर एक दुर्भावनापूर्ण ऐप द्वारा इंटरसेप्ट किया जाता है। नकली समाचार छवि के लिए वास्तविक छवि की अदला-बदली की जाती है। व्यवस्थापक को पता नहीं होगा कि ऐसा हुआ था और प्राप्तकर्ता को लगेगा कि छवि एक वास्तविक समाचार थी।
अपने डिवाइस को मीडिया फ़ाइल जैकिंग से कैसे सुरक्षित रखें
इस भेद्यता के लिए एक सही समाधान के लिए डेवलपर्स को एंड्रॉइड में स्टोरेज के लिए फाइलों को सहेजने के तरीके पर पुनर्विचार करने की आवश्यकता होगी। हालांकि, इस बीच यूजर्स के लिए एक क्विक फिक्स है। आपको बस बाह्य संग्रहण में फ़ाइलों को सहेजना अक्षम करना होगा।
टेलीग्राम पर ऐसा करने के लिए, ऐप के बाईं ओर स्वाइप करके मेनू खोलें और सेटिंग पर जाएं। . फिर चैट सेटिंग . पर जाएं . सुनिश्चित करें कि गैलरी में सहेजें टॉगल बंद . पर सेट है ।
WhatsApp पर बाहरी फ़ाइल संग्रहण को अक्षम करने के लिए, सेटिंग . पर जाएं , फिर चैट . में . सुनिश्चित करें कि मीडिया दृश्यता टॉगल बंद . पर सेट है ।
एक बार जब आप इस सेटिंग को बदल लेते हैं, तो आपका मैसेजिंग ऐप मीडिया फ़ाइल जैकिंग हमलों से सुरक्षित हो जाएगा।
मीडिया जैकिंग से बचने के लिए WhatsApp और टेलीग्राम सेटिंग अपडेट करें
मीडिया फ़ाइल जैकिंग उन चतुर तरीकों का एक उदाहरण है जिसमें एक मैसेजिंग ऐप के माध्यम से हमलावर आपके डिवाइस में हस्तक्षेप कर सकते हैं। यह सुनिश्चित करने के लिए कि आपका डिवाइस असुरक्षित नहीं है, अपनी सेटिंग बदलना एक अच्छा विचार है।
जब आप सुरक्षा और संदेश सेवा ऐप्स के बारे में सीख रहे हों, तो WhatsApp सुरक्षा खतरों को देखें जिनके बारे में उपयोगकर्ताओं को जानना आवश्यक है।