लंदन: वॉट्सएप जैसे मोबाइल मैसेंजर को इंस्टॉल करने के बाद, नए उपयोगकर्ता तुरंत अपने डिवाइस पर संग्रहीत फोन नंबरों के आधार पर मौजूदा संपर्कों को टेक्स्ट करना शुरू कर सकते हैं.
- ऐसा होने के लिए, उपयोगकर्ताओं को मोबाइल संपर्क खोज (कॉन्टैक्ट सर्च) नामक प्रक्रिया में कंपनी सर्वर पर अपनी एड्रेस बुक को एक्सेस करने और नियमित रूप से अपलोड करने की अनुमति प्रदान करना होता है.
- जर्मनी में टेक्निकल यूनिवर्सिटी ऑफ डार्मस्टाड और वुर्जबर्ग विश्वविद्यालय के अध्ययन से पता चलता है कि वर्तमान में इन सेवाओं से अरबों उपयोगकर्ताओं की गोपनीयता को गंभीर खतरा है.
- बहुत कम संसाधनों का उपयोग करते हुए, शोधकर्ता लोकप्रिय मैसेंजर वॉट्सएप, सिग्नल और टेलीग्राम पर व्यावहारिक क्रॉलिंग हमले करने में सक्षम थे.
- प्रयोगों के परिणामों से पता चलता है कि दुर्भावनापूर्ण उपयोगकर्ता या हैकर्स डेटा को बड़ी संख्या में और बिना खोज प्रतिबंधों के रैंडम फोन नंबरों के लिए संपर्क खोज सेवाओं के माध्यम से एकत्र कर सकते हैं.
- अध्ययन के लिए, शोधकर्ताओं ने वॉट्सएप के सभी अमेरिकी मोबाइल फोन नंबरों में से 10 प्रतिशत और सिग्नल के लिए 100 प्रतिशत पर शंका कर रहे हैं.
- इस प्रकार, वह व्यक्तिगत रूप से (मेटा) डेटा इकट्ठा करने में सक्षम थे, जो आमतौर पर मैसेंजर के उपयोगकर्ता के प्रोफाइल में संग्रहीत होते हैं, जिसमें प्रोफाइल चित्र, उपनाम, स्टेटस और 'लॉस्ट सीन ऑनलाइन' का समय शामिल है.
- विश्लेषण किए गए डेटा से उपयोगकर्ता के व्यवहार के बारे में दिलचस्प आंकड़े भी सामने आए. उदाहरण के लिए, बहुत कम उपयोगकर्ता डिफॉल्ट गोपनीयता सेटिंग्स को बदलते हैं, जो कि अधिकांश मैसेंजर के लिए गोपनीयता के अनुकूल नहीं हैं.
शोधकर्ताओं ने पाया कि अमेरिका में वॉट्सएप के लगभग 50 प्रतिशत उपयोगकर्ताओं के पास सार्वजनिक प्रोफाइल चित्र और 90 प्रतिशत में सार्वजनिक 'अबाउट' टेक्स्ट है. जिससे उपयोगकर्ताओं के बारे में पूरी जानकारी मिलती है.
दिलचस्प बात यह है कि सिग्नल उपयोगकर्ताओं में से 40 प्रतिशत, जिन्हें सामान्य रूप से अधिक गोपनीयता से संबंधित माना जा सकता है, वह भी वॉट्सएप का उपयोग कर रहे हैं, और उन सिग्नल उपयोगकर्ताओं में से प्रत्येक के पास वॉट्सएप पर सार्वजनिक प्रोफाइल तस्वीर है.
पढ़ें- दिव्यांगों के लिए एआई स्वचालित कैप्शन सक्षम करेगा फेसबुक लाइव
समय के साथ इस तरह के डेटा को ट्रैक करना हमलावरों को सटीक व्यवहार मॉडल बनाने में सक्षम बनाता है.
- जब डेटा सोशल नेटवर्क और सार्वजनिक डेटा स्रोतों से मेल खाता है, तो तीसरा पक्ष भी उपयोगकर्ताओं को ठगने के लिए विस्तृत प्रोफाइल बना सकते हैं.
- टेलीग्राम के लिए, शोधकर्ताओं ने पाया कि इसकी कॉन्टैक्ट सर्च सेवा उन फोन नंबरों के मालिकों के बारे में भी संवेदनशील जानकारी को उजागर करती है, जो सेवा में पंजीकृत नहीं हैं.
- शोधकर्ताओं ने लिखा, 'संपर्क खोज के दौरान जो जानकारी सामने आई है और क्रॉलिंग हमलों के माध्यम से एकत्र किया जा सकता है, यह सेवा प्रदाता और उपयोगकर्ता की गोपनीयता सेटिंग्स पर निर्भर करता है.
- चूंकि मैसेजिंग सेवाओं के साथ साइनअप करने के लिए कोई उल्लेखनीय प्रतिबंध नहीं हैं, कोई भी तीसरा पक्ष रैंडम फोन नंबरों के लिए डेटा का अनुरोध करके जानकारी के लिए किसी मैसेंजर के उपयोगकर्ता डेटाबेस को क्रॉल करने के लिए बड़ी संख्या में खाते बना सकता है. मैसेंजर के सभी उपयोगकर्ताओं को ऐसी सलाह दी गई है.
- टीम ने इन मैसेंजर एप को अपनी गोपनीयता सेटिंग्स को फिर से देखने का सुझाव दिया है.
- यह अध्ययन फरवरी 2021 में 28वीं वार्षिक नेटवर्क और आईटी सुरक्षा के लिए शीर्ष सम्मेलन वितरित प्रणाली सुरक्षा संगोष्ठी (NDSS) में जारी किया जाएगा.
