एक नए स्मार्टफोन को अनबॉक्स करना तकनीक की नई खुशियों में से एक माना जाता है। सिलोफ़न को हटाना, बॉक्स के ऊपर से खिसकना, और अपने पुराने डिवाइस को चालू करना। जब फ़ोन अपना ताज़ा ऑपरेटिंग सिस्टम तैयार करता है, तब बूट लोगो अपनी सभी रंगीन महिमा में घूमता है।
लेकिन क्या होगा अगर यह इतना साफ-सुथरा नहीं है? उस उज्ज्वल बाहरी के तहत कुछ और भयावह हो सकता है। जैसा कि यह पता चला है, इस बात के बढ़ते प्रमाण हैं कि आप अपने बिल्कुल नए Android फ़ोन पर भरोसा करने में सक्षम नहीं हो सकते हैं।
द कंज्यूमर इलेक्ट्रॉनिक्स सप्लाई चेन
आधुनिक विनिर्माण आपूर्ति श्रृंखला जटिल हैं। वैश्वीकरण के परिणामस्वरूप, कच्चे माल से लेकर तैयार उत्पादों तक हर चीज के लिए एक विश्वव्यापी बाजार है, और उपभोक्ता इलेक्ट्रॉनिक्स अलग नहीं हैं। इलेक्ट्रॉनिक्स के सबसे बड़े उत्पादकों में से एक चीन है, जहां कई पश्चिमी व्यवसाय 1980 के दशक में अपनी अर्थव्यवस्था के बढ़ने के बाद से उत्पादन आउटसोर्सिंग कर रहे हैं।
चीनी भी सिलिकॉन का सबसे बड़ा उत्पादक है, जो आधुनिक इलेक्ट्रॉनिक्स में एक महत्वपूर्ण सामग्री है। देश दुनिया भर में उपयोग में आने वाले अधिकांश उपभोक्ता इलेक्ट्रॉनिक्स के निर्माण के लिए जिम्मेदार है। अकेले 2017 में अमेरिका में चीनी आयात कुल 189 बिलियन डॉलर था। इस अभूतपूर्व वृद्धि और बाजार प्रभुत्व के परिणामस्वरूप अमेरिका और चीन के बीच हाल ही में व्यापार युद्ध हुआ, दोनों देशों ने 2018 के दौरान एक-दूसरे के उत्पादों पर भारी शुल्क लगाया।
हालांकि चीन विनिर्माण आपूर्ति श्रृंखला के एक बड़े हिस्से को नियंत्रित करता है, सामग्री और इकट्ठे घटकों को दुनिया भर में सोर्स किया जाता है। यही कारण है कि आपके Apple iDevice ने "कैलिफ़ोर्निया में डिज़ाइन किया गया है। चीन में असेंबल किया गया" पीठ पर उकेरा गया है। अपने 1958 के निबंध "आई, पेंसिल" में अर्थशास्त्री लियोनार्ड रीड ने एक पेंसिल के उत्पादन के लिए आवश्यक विस्तृत प्रक्रिया का विस्तार से वर्णन किया है, जो एक साधारण-सा लगने वाला उत्पाद है।
विशाल और जटिल इलेक्ट्रॉनिक्स आपूर्ति श्रृंखला का अर्थ है कि सटीक पता लगाने की क्षमता लगभग असंभव कार्य है।
Android स्मार्टफ़ोन बनाना
Apple के वॉल-गार्डन दृष्टिकोण का अर्थ है कि वे अपनी निर्माण प्रक्रिया पर कड़ा नियंत्रण रखते हैं। कंपनी पर अतीत में उनके कारखाने के कर्मचारियों के लिए खराब और असुरक्षित परिस्थितियों का आरोप लगाया गया है, लेकिन वे इस प्रक्रिया को सख्ती से नियंत्रित करते हैं।
Android उपकरणों के लिए ऐसा नहीं कहा जा सकता है।
Google उनके मोबाइल ऑपरेटिंग सिस्टम के लिए व्यावहारिक दृष्टिकोण अपनाता है। चूंकि एंड्रॉइड ओपन-सोर्स है, इसलिए निर्माता इसके साथ जो कुछ भी चाहते हैं, बिना एक पैसा चुकाए बहुत कुछ कर सकते हैं। इस व्यवसाय मॉडल को Android को मुख्यधारा में लाने और इसके वर्तमान बाज़ार प्रभुत्व का श्रेय दिया जाता है।
हालाँकि, इस दृष्टिकोण में कुछ कमियां हैं। विखंडन, धीमा या कभी-कभी गैर-मौजूद अपडेट, और अनुत्तरदायी या स्पैम-रिडल्ड लॉन्चर कुछ नाम हैं। प्रत्येक निर्माता और वाहक प्रत्येक डिवाइस के हार्डवेयर और सॉफ़्टवेयर को कस्टम डिज़ाइन करने में सक्षम होते हैं। नतीजतन, अब बाजार में कई अलग-अलग एंड्रॉइड डिवाइस हैं।
चूंकि अधिकांश निर्माण प्रक्रिया चीन में की जाती है (यही कारण है कि चीन से सीधे फोन खरीदना इतना लोकप्रिय हो रहा है), कारखाने अक्सर कई निर्माताओं के लिए स्मार्टफोन इकट्ठा करते हैं। वे उसी उत्पादन लाइन पर भी चल सकते हैं जिसमें केवल ब्रांडिंग बदली गई हो। इसके कारण कई उपकरण सॉफ़्टवेयर, घटकों और कभी-कभी संपूर्ण तैयार उत्पाद को साझा कर रहे हैं।
आप अपने नए स्मार्टफ़ोन पर भरोसा नहीं कर सकते
एंड्रॉइड की खुली प्रकृति खुद को मैलवेयर के लिए इस तरह उधार देती है कि ऐप्पल के सावधानी से क्यूरेट किए गए डिवाइस नहीं करते हैं। हालाँकि Google ने पिछले कुछ वर्षों में प्लेटफ़ॉर्म की सुरक्षा में सुधार के लिए कदम उठाए हैं, लेकिन निर्माताओं की खराब कार्यप्रणाली और जटिल आपूर्ति श्रृंखला दुर्भावनापूर्ण हमलावरों के लिए एक अवसर प्रस्तुत करती है।
RottenSys मालवेयर
2018 की शुरुआत में, Xiaomi Redmi पर एक वाई-फाई सेवा ने चेक प्वाइंट रिसर्च (CPR) के शोधकर्ताओं का ध्यान आकर्षित किया। कुछ जांच के बाद, उन्होंने पाया कि यह वाई-फाई सेवाएं बिल्कुल भी प्रदान नहीं करता था। इसके बजाय, इसने संवेदनशील Android अनुमतियों की एक लंबी सूची का अनुरोध किया, जिनमें से कोई भी वाई-फाई सेवाओं से संबंधित नहीं थी।
सबसे अधिक संकेत अनुमतियों में से एक DOWNLOAD_WITHOUT_NOTIFICATION थी। ऐसा प्रतीत होता है कि ऐप इस अनुमति का उपयोग कमांड एंड कंट्रोल (सी एंड सी) सर्वर से दुर्भावनापूर्ण सॉफ़्टवेयर डाउनलोड करने के लिए करता है, जब फोन को शुरू में संचालित किया गया था। RottenSys के रूप में जाना जाने वाला मैलवेयर, अपनी प्रक्रियाओं को जीवित रखने के लिए MarsDaemon नामक एक ओपन-सोर्स फ्रेमवर्क का उपयोग करके ऑपरेटिंग सिस्टम से छिपाने में सक्षम था।
C&C सर्वर ने एक दुर्भावनापूर्ण विज्ञापन नेटवर्क के लिए फ़ाइलें प्रदान कीं, जिसे झूठी वाई-फाई सेवा द्वारा चुपचाप फ़ोन पर स्थापित किया गया था। सीपीआर का अनुमान है कि हमलावर ऑपरेशन के हर दस दिनों में 115,000 डॉलर तक कमा सकते हैं। शोधकर्ताओं को इस बात के भी सबूत मिले कि हमलावर संक्रमित उपकरणों को अपने बॉटनेट (बॉटनेट क्या है?) में भर्ती करने के लिए कमर कस रहे थे।
सीपीआर की जांच में पाया गया कि इलेक्ट्रॉनिक्स थोक व्यापारी तियान पई ने लगभग आधे संक्रमित उपकरणों को संभाला। हालांकि उन्होंने यह नहीं बताया कि तियान पाई की मिलीभगत थी, लेकिन उन्होंने यह निष्कर्ष निकाला कि मैलवेयर शायद आपूर्ति श्रृंखला में किसी बिंदु पर स्थापित किया गया था।
मैलवेयर सितंबर 2016 में फैलना शुरू हुआ और मार्च 2018 तक दुनिया भर में लगभग पांच मिलियन डिवाइसों को संक्रमित कर चुका था। सौभाग्य से, RottenSys को हटाने में कुछ ही सेकंड लगते हैं --- एक बार जब आप जानते हैं कि इसे कहां खोजना है। यदि आपका नया एंड्रॉइड डिवाइस एडवेयर से भरा हुआ लगता है, तो अपनी सेटिंग्स पर जाएं और सीपीआर रिपोर्ट में सूचीबद्ध किसी भी ऐप को हटा दें। एक बार जब आप ऐप को अनइंस्टॉल कर देते हैं, तो RottenSys इसके साथ गायब हो जाना चाहिए।
शंघाई AdUps प्रौद्योगिकी
हमारे स्मार्टफोन बहुत सारी व्यक्तिगत और संवेदनशील जानकारी उत्पन्न और संग्रहीत करते हैं। आखिरी चीज जो आप अपने ब्रांड के नए स्मार्टफोन से उम्मीद करेंगे, वह यह होगा कि वह सारा डेटा एकत्र करे और उसे हर 72 घंटे में एक चीनी सर्वर पर भेजे।
हालांकि, 2016 में सुरक्षा फर्म क्रिप्टोवायर के शोधकर्ताओं ने यही पाया। प्रभावित फर्मवेयर अमेरिका में बेचे जाने वाले कई एंड्रॉइड डिवाइसों पर देखा गया था, जिसमें लोकप्रिय BLU R1 HD भी शामिल है। Android अनुमतियों को दरकिनार करने के परिणामस्वरूप, इसे आपके सभी डेटा तक निर्बाध पहुंच प्रदान की गई थी। रिपोर्ट के अनुसार, इसमें शामिल हैं:
<ब्लॉकक्वॉट>"... उपयोगकर्ता और डिवाइस की जानकारी जिसमें टेक्स्ट मैसेज, संपर्क सूचियों, पूरे टेलीफ़ोन नंबरों के साथ कॉल इतिहास, अंतर्राष्ट्रीय मोबाइल सब्सक्राइबर पहचान (IMSI) और अंतर्राष्ट्रीय मोबाइल उपकरण पहचान (IMEI) सहित अद्वितीय डिवाइस पहचानकर्ता शामिल हैं।"
यह दूरस्थ रूप से उपकरणों को रीप्रोग्राम करने, ऐप्स इंस्टॉल करने और फाइन लोकेशन डेटा एकत्र करने में भी सक्षम था। क्रिप्टोवायर ने चीनी फर्म शंघाई एडअप्स टेक्नोलॉजी को वापस संदिग्ध गतिविधि का पता लगाया। कंपनी ने कहा कि डेटा संग्रह एक गलती थी, और फर्मवेयर का उपयोग केवल अपडेट प्रदान करने के लिए किया गया था। हालांकि, उन्होंने स्पाइवेयर को हटाने के लिए अमेरिकी सरकार, Amazon, BLU और Google के साथ काम किया।
एक साल बाद, शोधकर्ताओं ने पाया कि शंघाई एडअप अभी भी एंड्रॉइड डिवाइस पर स्पाइवेयर का उपयोग कर रहा था। अधिकांश डेटा-साइफ़ोनिंग को हटाने के बजाय छिपा दिया गया था। अमेरिकी उपकरणों के लिए कुछ सुविधाओं को बंद कर दिया गया था, लेकिन फिर भी उन्होंने चीनी फर्म को डेटा वापस भेज दिया। क्रिप्टोवायर ने नोट किया कि AdUps इंस्टॉल किए गए एप्लिकेशन, फ़ोन नंबर, डिवाइस पहचानकर्ता और सेल टॉवर जानकारी की एक सूची एकत्र करना जारी रखता है।
अमेरिका और चीन के बीच संबंधों की स्थिति को देखते हुए, यह ध्यान देने योग्य हो सकता है कि क्रिप्टोवायर को यूनाइटेड स्टेट्स डिफेंस एडवांस्ड रिसर्च प्रोजेक्ट्स एजेंसी (DARPA) और होमलैंड सिक्योरिटी विभाग (DHS) से धन प्राप्त होता है।
आप जो करेंगे, उसमें से बनाएं।
आप वास्तव में किस पर भरोसा कर सकते हैं?
पूर्व-स्थापित मैलवेयर और अंतर्निहित सुरक्षा खामियों के लिए बहुत सारा दोष चीन के पैरों पर पड़ता है। यह सच है कि दुनिया के सबसे बड़े निगरानी राज्य को चलाने की राजनीति कभी-कभी उनके विनिर्माण उद्योगों में खून बहा सकती है। हालांकि, एट्रिब्यूशन कठिन है और यहां तक कि रिपोर्टें जो जिम्मेदार पार्टियों को नाम और शर्मसार करती हैं, आमतौर पर केवल एक शिक्षित अनुमान लगाती हैं।
इसका मतलब यह नहीं है कि चीन को पूरी तरह से छोड़ देना चाहिए। हुआवेई पर हाल ही में लगाए गए आरोपों का मतलब है कि अगर आप गोपनीयता को महत्व देते हैं तो आपको शायद उनके फोन नहीं खरीदने चाहिए। यह पहली बार नहीं है जब हुआवेई ने खुद को सुरक्षा घोटाले में उलझा हुआ पाया है।
हालाँकि मैलवेयर की वर्तमान धारा अब तक Android उपकरणों तक ही सीमित है, इसका मतलब यह नहीं है कि यह हमेशा के लिए उसी तरह रहेगा। यहां तक कि Apple की चौकस निगाह के तहत, मैलवेयर का जोखिम असंभव के बजाय असंभव है। अगर यह सारी अनिश्चितता आपको हार के लिए अपने हाथ ऊपर करना चाहती है, तो यह समय हो सकता है कि आप अपने स्मार्टफोन को छोड़कर एक गूंगा फोन खरीदने पर विचार करें।