আইফোন কেন ইসরায়েলের পেগাসাস স্পাইওয়্যার ঠেকাতে পারল না
লড়াইটাকে ফুটবল মাঠের সঙ্গে তুলনা করা যাক। এক প্রান্তে অ্যাপল; যাদের তৈরি ১০০ কোটির বেশি আইফোন বর্তমানে বিশ্বব্যাপী মানুষ ব্যবহার করছে। অপর প্রান্তে ইসরায়েলের এনএসও গ্রুপের মতো প্রতিষ্ঠানগুলো। যারা সর্বশেষ প্রযুক্তির নিরাপত্তাবলয় ভেঙে এই আইফোনগুলোতে আড়ি পাতছে, নজর রাখছে ব্যবহারকারীর তথ্যে।
আপনারা এতক্ষণে জেনে গেছেন, স্কোরবোর্ডে গোলটা এনএসওর নামেই উঠেছে।
ঘটনাটি যেকোনো ব্র্যান্ডের স্মার্টফোনের সঙ্গেই হতে পারে। তবে আমরা আইফোনের কথা বলছি দুটি কারণে। প্রথমত, আইফোনকে আমরা বরাবরই নিরাপদ স্মার্টফোন হিসেবে দেখে এসেছি। দ্বিতীয়ত, অ্যাপলও সব সময় জোর গলায় বলেছে তারা ‘বিশ্বের নিরাপদতম প্ল্যাটফর্মের’ স্রষ্টা, আড়ি পাতার সফটওয়্যারগুলোর চেয়ে এক কদম এগিয়েই চলে তারা।
তবে পেগাসাস প্রোজেক্টের অংশ হিসেবে সংবাদমাধ্যমগুলোর জোটের গবেষণায় উঠে এসেছে উদ্বিগ্নকর চিত্র। সেখানে স্পাইওয়্যারটিই বরং একধাপ এগিয়ে ছিল বলে জেনেছি আমরা।
স্পাইওয়্যার আসলে কী? এটি এক ধরনের ম্যালওয়্যার বা ক্ষতিকর সফটওয়্যার। ব্যবহারকারীকে না জানিয়েই তাঁর ডিভাইসে ইনস্টল করে দেয় হ্যাকার। এরপর সেটি ডিভাইসে লুকিয়ে থেকে তথ্য সংগ্রহ করে পাঠিয়ে দেয় হ্যাকারের কাছে।
অ্যামনেস্টি ইন্টারন্যাশনালের গবেষণায় বলা হয়েছে, সর্বশেষ মডেলের আইফোনে সর্বশেষ সংস্করণের সফটওয়্যার ইনস্টল করা থাকলেও তাতে আড়ি পাততে পেরেছে এনএসও গ্রুপের পেগাসাস স্পাইওয়্যার।
এতে অনেকের আইফোন পোর্টেবল সারভিলেন্স ডিভাইসে রূপ নিয়েছে। অর্থাৎ ব্যবহারকারীর নিজের পয়সায় কেনা স্মার্টফোনটি অন্যের হয়ে কাজ করছে। ফোন নম্বরের তালিকা, এসএমএস, ছবিসহ সব ধরনের তথ্য তুলে দিয়েছে হ্যাকারের হাতে।
ডিজিটাল নিরাপত্তা গবেষকেরা কিন্তু অনেক দিন ধরেই এমন পরিস্থিতির জন্য প্রস্তুতি নিতে বলেছেন। নিয়মিত সতর্কও করেছেন। অ্যাপলও নিয়মিত নিজেদের সফটওয়্যার হালনাগাদ করেছে। তবে দিনশেষে ক্ষতি যা হওয়ার, তা ব্যবহারকারীদেরই হলো। নিরাপদ মনে করে যে প্রতিষ্ঠানের পণ্যে নিজেদের তথ্য সঁপে দিয়েছিলেন তাঁরা, সেখান থেকেই তা ফাঁস হলো।
যুক্তরাষ্ট্রের ন্যাশনাল সিকিউরিটি এজেন্সির সাবেক কর্মী প্যাট্রিক ওয়ার্ডল বলেছেন, ‘অ্যাপলের ঔদ্ধত্যের সঙ্গে আর কিছুর তুলনা হয় না। তাঁরা মূলত নিজেদের পথটাই সেরা বলে মনে করে। সত্যি বলতে কি, আইফোন বেশ সফলও। তবে আপনি যদি বাইরের কোনো নিরাপত্তা গবেষকের সঙ্গে কথা বলেন, তবে তাঁদের হয়তো অ্যাপল সম্পর্কে এমন ভালো কিছু বলার থাকবে না।’
প্যাট্রিকের মতে, অন্যান্য প্রতিষ্ঠানের নিরাপত্তার সঙ্গে জড়িত কর্মীরা বরং ভালো। কারণ, তাঁরা এই স্বাধীন নিরাপত্তা গবেষকদের সতর্কবাণী শোনেন এবং সে অনুযায়ী কাজ করে নিজেদের পণ্যের ব্যবহারকারীদেরই উপকার করেন। অ্যাপলের তেমন মনোভাব নেই বলে উল্লেখ করেছেন তিনি।
অলাভজনক সংস্থা ফরবিডেন স্টোরিজের সমন্বয়ে পেগাসাস প্রোজেক্টের আওতায় একঝাঁক অনুসন্ধানী প্রতিবেদন প্রকাশ করেছে বিশ্বের নামীদামি সব সংবাদমাধ্যম। স্মার্টফোন থেকে তথ্য ফাঁসের এই তথ্যও সেখানে উঠে আসে।
অ্যামনেস্টি ইন্টারন্যাশনালের কারিগরি সহায়তায় অনুসন্ধানী প্রকল্পটি হাজারো অ্যাপল ও অয়ান্ড্রয়েড স্মার্টফোন ব্যবহারকারীর ফোনে আড়ি পাতার বিষয়টি সামনে আনে।
যেভাবে আড়ি পেতেছে পেগাসাস
আইফোনের সবচেয়ে জনপ্রিয় সুবিধাগুলোর একটি বার্তা আদান–প্রদানের সেবা আইমেসেজ। বিশেষজ্ঞরা মনে করছেন, সেটি একই সঙ্গে সবচেয়ে ঝুঁকিপূর্ণ সুবিধাও। তবে চলতি বছরের শুরুতে অ্যাপল বড় গলায় বলেছিল, তারা আইমেসেজকে আরও সুরক্ষিত করেছে। সে কাজটি করার জন্য ‘ব্লাস্টডোর’ নামের সুবিধা চালু করেছে তারা, যা আইফোনে আগত সন্দেহজনক বার্তাগুলো স্ক্যান করে দেখে।
উদাহরণ হিসেবে বলা যেতে পারে, আমার আইফোন হ্যাক হলে আমার নিজেরই বোঝার উপায় নেই।
কানাডার ইউনিভার্সিটি অব টরন্টোর সাইবার নিরাপত্তা বিশ্লেষক সংগঠন সিটিজেন ল্যাবের সদস্য বিল মার্জাক বলেছেন, ‘আমরা দেখেছি, অ্যাপলের সর্বশেষ সংস্করণের আইওএস অপারেটিং সিস্টেমেও আইমেসেজের মাধ্যমে পেগাসাস ছড়িয়ে দেওয়া হয়েছে। সুতরাং এটা পরিষ্কার যে এনএসও ব্লাস্টডোরকেও হার মানিয়েছে। তার মানে এই না যে সফটওয়্যারে নিরাপত্তা সুবিধা তৈরি করা বৃথা। প্রতিটি নিরাপত্তাবলয় ডিভাইস হ্যাক করা আরও কঠিন করে তোলে। এতে অনেক হ্যাক থেকেই বাঁচা সম্ভব।’
প্যাট্রিক ওয়ার্ডলের মতে, যে নিরাপত্তা সুবিধা নিয়ে অ্যাপল বড় গলায় কথা বলে, সেটি মূলত দুই পাশে ধারওয়ালা তরবারি। কারণ, আইমেসেজে এন্ড-টু-এন্ড এনক্রিপশন সুবিধা আছে। অর্থাৎ কার আইফোন থেকে স্পাইওয়্যারটি ছড়াল, তা জানাও সম্ভব নয়। সাইবার হামলাকারীর দৃষ্টিকোণ থেকে সেটি চমৎকার।
ওয়ার্ডল আরও বলেছেন, ‘হ্যাকার একবার ডিভাইসে প্রবেশ করলে সে ডিভাইসের নিরাপত্তা সুবিধাগুলো ব্যবহারকারীর বিরুদ্ধে ব্যবহার করতে পারে। সুতরাং উদাহরণ হিসেবে বলা যেতে পারে, আমার আইফোন হ্যাক হলে আমার নিজেরই বোঝার উপায় নেই। অন্যদিকে আমার ম্যাক কম্পিউটারটি হ্যাকারের জন্য তুলনামূলক সহজ লক্ষ্য, তবে তাতে চলমান কাজগুলোর তালিকা আমি পরীক্ষা করে দেখতে পারি, তাতে একটি ফায়ারওয়াল আছে, যেখানে ঠিক করে দিতে পারি ইন্টারনেটে কী করা যাবে আর কী করা যাবে না।’
অ্যামনেস্টির সিকিউরিটি ল্যাবের প্রধান ক্লডিও গার্নিয়েরি বলেছেন, এনএসওর স্পাইওয়্যার যে আইওএসের (আইফোনের সফটওয়্যার) সর্বশেষ সংস্করণগুলোতে প্রবেশ করতে পারে, তাতে কোনো সন্দেহ নেই। অ্যাপলও নিরাপত্তা বাড়ানোর জন্য অনেক কাজ করেছে। তবে ক্লডিওর ভাষায়, একধাপ এগিয়ে থাকা হাজারো হ্যাকারের সঙ্গে পেরে উঠছে না অ্যাপল।
ক্লডিও বলেছেন, ‘অত্যন্ত মেধাবী কেউ না কেউ থাকবেই, যারা উচ্চ পারিশ্রমিকের আশায় এই নিরাপত্তাত্রুটিগুলো খুঁজে বের করবে।’
তবে উপায়?
সিটিজেন ল্যাবের আরেক গবেষক জন স্কট-রেইলটন বলেছেন, ‘অ্যাপলের মতো প্রতিষ্ঠানগুলোর উচিত সব সময় ঝুঁকি পর্যবেক্ষণ করা। এরপর কী আসতে পারে, তা আগে থেকেই অনুমান করতে হবে। আপনি যদি তা না করেন, তবে আপনি সত্যিকার অর্থে নিরাপদ কোনো পণ্য বানাতে পারবেন না।’
পেগাসাসের ঘটনাটির পর মাইক্রোসফট, সিসকোসহ বড় প্রযুক্তি প্রতিষ্ঠানগুলো জোট গঠন করেছে। যৌথ বিবৃতিতে তারা বলেছে, এনএসও সাধারণ মানুষের জীবন কম নিরাপদ করে তুলেছে। তবে অ্যাপল সে জোটে যোগ দেয়নি।
পেগাসাস প্রোজেক্টের অংশীদার সংবাদমাধ্যমগুলোর প্রশ্নের জবাবে এক বিবৃতিতে অ্যাপল বলেছে, ‘সাংবাদিক, মানবাধিকারকর্মী এবং আরও যাঁরা পৃথিবীকে উন্নত করার জন্য কাজ করে যাচ্ছেন, তাঁদের ওপর সাইবার হামলার ঘটনায় অ্যাপল দ্ব্যর্থহীন কণ্ঠে নিন্দা জানাচ্ছে। এক দশকের বেশি সময় ধরে, নিরাপত্তাবিষয়ক উদ্ভাবনে অ্যাপল নেতৃত্ব দিয়ে আসছে। ফলে আইফোন যে বাজারের সবচেয়ে নিরাপদ মোবাইল ডিভাইস, তা নিরাপত্তা গবেষকেরাও মানেন।’
অ্যাপল আরও বলেছে, নিরাপত্তা একটি গতিশীল খাত এবং আইমেসেজকে নিরাপদ রাখতে ব্লাস্টডোর তাদের শেষ প্রয়াস নয়।
সূত্র: দ্য গার্ডিয়ান