सरकार ने दी बड़ी साइबर चेतावनी, CERT-In ने जारी की खतरनाक अलार्म
भारत की साइबर सुरक्षा एजेंसी CERT-In ने हाल ही में एक ऐसी चेतावनी जारी की है, जिसे नजरअंदाज करना काफी ख़तरनाक हो सकता है। इसमें सिर्फ स्मार्टफोन नहीं, बल्कि आपके लैपटॉप तक की सुरक्षा पर सवाल उठाए गए हैं। अगर आप समझते हैं कि “मेरा डिवाइस तो ठीक है,” तो शायद अब सोचना पड़े — क्योंकि यह अलर्ट सिर्फ टेक-जीनियस के लिए नहीं, आम यूज़र्स के लिए भी बेहद मायने रखता है। जिनमें लाखों स्मार्टफोन और लैपटॉप यूज़र प्रभावित हो सकते हैं। ये चेतावनियाँ न सिर्फ एंड्रॉयड और ऐप्पल डिवाइसों को जोड़ती हैं, बल्कि वर्क-लैपटॉप पर WhatsApp Web के इस्तेमाल पर भी गंभीर ख़तरे की ओर इशारा करती हैं। सबसे पहले, एंड्रॉयड यूज़र्स के लिए यह अलार्म वास्तविक है: CERT-In ने चेताया है कि Android वर्ज़न 13, 14, 15 और 16 में “क्रिटिकल सिक्योरिटी फ्लॉज़” पाए गए हैं। इन खामियों का फायदा उठाकर हैकर्स आपके डिवाइस पर “arbitrary code execution” कर सकते हैं
एंड्रॉयड यूज़र्स पर रेड अलर्ट
सबसे पहले बात करते हैं Android डिवाइसेज़ की — CERT-In ने Android के 13, 14, 15 और 16 वर्ज़न पर “उच्च-गंभीरता” (high severity) की चेतावनी जारी की है। एजेंसी का कहना है कि इन वर्ज़नों में कई सुरक्षा कमियाँ हैं, और खतरा सिर्फ सॉफ्टवेयर का नहीं है — ये खामियाँ हार्डवेयर-सबसे जुड़े चिपसेट (जैसे Qualcomm, MediaTek, Broadcom) में भी हैं।
टेक्निकल रूप से देखें तो यह समस्या Android फ्रेमवर्क, सिस्टम, कर्नेल और विभिन्न निर्माता-विशिष्ट घटकों (vendor components) में पाई गई है। अगर कोई हैकर इन खामियों का फायदा उठाता है, तो वह “arbitrary code execution” कर सकता है — यानी वह आपके फोन पर अपने मन का कोड चला सकता है — और अगर यह हुआ, तो डेटा चोरी, डिवाइस का कंट्रोल लेना, या फिर डिवाइस को क्रैश करना भी संभव है।
CERT-In ने सुझाव दिया है कि आप अपने फोन का सिस्टम अपडेट तुरंत चेक करें और सिक्योरिटी पैच इंस्टॉल करें। साथ ही, ऑटो-अपडेट को ऑन रखें और अनजान ऐप्स या लिंक से सावधान रहें — क्योंकि सिर्फ अपडेट देने से ही खतरा कम नहीं होता, यूज़र की जागरूकता भी ज़रूरी है।
ऐप्पल डिवाइसेज़ भी सुरक्षित नहीं
CERT-In की चिंता सिर्फ Android तक सीमित नहीं है। Apple यूज़र्स — चाहे वो iPhone, iPad, Mac या Vision Pro हो — उन्हें भी गंभीर जोखिम का सामना करना पड़ सकता है। एजेंसी ने कहा है कि कुछ पुराने वर्ज़न (OS के) में ममोरी करप्शन, “type confusion” (डेटा को गलत तरीके से पहचानना), “use-after-free” (मेमोरी जो डिलीट हो चुकी हो, फिर भी उसे यूज़ करना), और आउट-ऑफ-बाउंड रीड/राइट जैसी तकनीकी खामियाँ पाई गई हैं। इन खामियों के चलते हैकर्स आपके डिवाइस पर रिमोट कोड एक्सेक्यूट कर सकते हैं, आपके डेटा तक पहुंच बना सकते हैं, या आपके सिस्टम को बाधित (denial-of-service) कर सकते हैं। विशेष रूप से प्रभावित वर्ज़न में वे शामिल हैं जो iOS, iPadOS, macOS, Safari, VisionOS आदि पर पुराने हैं।
CERT-In ने सख़्ती से कहा है कि सभी Apple यूज़र्स अपना OS अपडेट करें — यह सिर्फ व्यक्तिगत उपयोगकर्ता के लिए ही नहीं, कंपनियों और संस्थाओं के लिए भी ज़रूरी है, क्योंकि डिवाइसों का आउटडेटेड रहना बड़ी सुरक्षा रिस्क बना सकता है।
लैपटॉप पर WhatsApp Web का उपयोग — क्या यह एक बम है?
यहां एक और चौंकाने वाली बात है: CERT-In ने WhatsApp Desktop (Windows) के लिए भी चेतावनी जारी की है। समस्या इस प्रकार की है कि WhatsApp की विंडोज़ डेस्कटॉप एप्लिकेशन में MIME प्रकार और फ़ाइल एक्सटेंशन को हैंडल करने का तरीका गलत (misconfiguration) है। इसका मतलब है कि हैकर्स कुछ फाइल्स को मैलिशियस कोड के साथ गढ़ सकते हैं, और अगर आप उन्हें खोल दें, तो आपके लैपटॉप पर अनचाहा कोड रन हो सकता है।
यह सिर्फ आपकी चैट नहीं जोखिम में लाता है — निजी फाइल्स, क्रेडेंशियल्स (जैसे वर्क लॉगिन), और अन्य संवेदनशील डेटा भी एक्सपोज़ हो सकते हैं। ऐसे में CERT-In का कहना है कि आप WhatsApp Desktop को तुरंत अपडेट करें, और अटैचमेंट खोलने में बहुत सतर्क रहें — खासकर वो फाइल्स जिनके नाम या एक्सटेंशन संदिग्ध हों।
क्यों इतनी खामियाँ हो गई?
CERT-In द्वारा उठाए गए कई मुद्दे सिर्फ “साधारण बग” नहीं हैं — इनमें गहराई है:
- मेमोरी करप्शन (Memory corruption): कुछ वुल्नरेबिलिटीज़ में हैकर्स मेमोरी में ऐसी गड़बड़ी पैदा कर सकते हैं कि सिस्टम अनचाहे कोड को रन करने दे। यह बेहद खतरनाक है क्योंकि इससे हैकर्स सिर्फ डेटा तक पहुंच ही नहीं पाते, बल्कि आपके डिवाइस को कंट्रोल भी कर सकते हैं।
- Type confusion: डेटा टाइप्स को गलत पहचानना — OS को पता नहीं चलता कि कौन-सी वैल्यू किस टाइप की है, जिससे अटैकर खराब डेटा भेज कर सिस्टम को धोखा दे सकता है।
- Use-after-free: यह एक क्लासिक मेमोरी एरर है, जहां एक हिस्सा डिलीट हो चुका होता है, लेकिन सिस्टम उसे फिर भी रिफरेंस कर पाता है। जिससे हैकर्स पुराने प्वाइंटर्स का दुरुपयोग कर सकते हैं।
- Out-of-bounds read/write: यह तब होता है जब प्रोग्राम मेमोरी की उन लोकेशन्स तक पहुँचता है जिन्हें उसे एक्सेस नहीं करना चाहिए था — इससे गड़बड़ी, डाटा एक्सपोज़र और एक्सप्लॉइटेशन संभव हो जाता है।
- Vendor-specific component flaws: सिर्फ OS नहीं, हार्डवेयर-निर्माता (Qualcomm, MediaTek, आदि) के कस्टम कंपोनेंट्स में भी कमियाँ मिली हैं। इसका मतलब है कि समस्या सिर्फ सॉफ़्टवेयर का ही नहीं, बल्कि हार्डवेयर लेवल पर भी है।
इसे हल्के-फुल्के अंदाज़ में समझें — और सीखें भी
कल्पना कीजिए कि आपका मोबाइल घर है। CERT-In कह रही है कि आपके घर की दीवारें (OS) में दरारें हैं, और उन दरारों में चोर (हैकर) पैस भी सकता है। कभी-कभी यह दरार सिर्फ एक कोने में है (OS में बग), तो कभी दरार दीवार के अंदर छुपे प्लम्बरिंग पाइप (हार्डवेयर) में है। और अगर आपके घर में मेहमान (WhatsApp) आते हैं और दरवाज़ों की चाबी (फाइल अटैचमेंट्स) के साथ खेलते हैं, तो दरवाज़े खुलने की संभावना बन जाती है।
जिस तरह आप घर को मजबूत करने के लिए नई पेंट करते हैं, फर्नीचर ठीक करते हैं, उसी तरह अपने डिवाइस को सुरक्षित रखने के लिए आपको अपडेट, पैच और सावधानी की “सेक्योरिटी पेंटिंग” करनी होगी।
ये भी पढ़ें
आपके लिए सरल परंतु जरूरी सलाह
- हर डिवाइस अपडेट करें: अपने फोन (Android / Apple) और लैपटॉप पर जाकर तुरंत अपडेट्स चेक करें और लेटेस्ट सिक्योरिटी पैच इंस्टॉल करें।
- ऑटो-अपडेट चालू करें: ताकि आने वाले पैच अपने आप लगें और आप भूलें नहीं।
- संदिग्ध अटैचमेंट्स से सावधान रहें: WhatsApp Desktop में मिले अटैचमेंट खोलने से पहले सोचे — नाम, एक्सटेंशन और भेजने वाले पर ध्यान दें।
- विश्वसनीय स्रोतों पर ही भरोसा करें: ऐप्स सिर्फ ऑफीशियल स्टोर से डाउनलोड करें, तीसरे-पक्ष के स्रोतों से एप्लिकेशन इंस्टॉल करने में सावधानी बरतें।
- पासवर्ड और प्रमाणीकरण मजबूत रखें: दो-चरणीय प्रमाणीकरण (2FA) इस्तेमाल करें, और ऐप परमिशन्स नियमित रूप से चेक करें।
