BBCExclusive నమో, కాంగ్రెస్, ఆధార్ యాప్‌లపై హ్యాకర్ విశ్లేషణ

  • 29 మార్చి 2018
హ్యాకింగ్ Image copyright Getty Images

ఆధార్, నమో, కాంగ్రెస్ యాప్‌లలో భద్రతా లోపాలు ఉన్నాయని ప్రకటించి వార్తల్లోకెక్కిన ఫ్రెంచ్ సైబర్ సెక్యూరిటీ పరిశోధకుడు ఎల్లియట్ అల్డర్‌సన్ బీబీసీతో మాట్లాడారు.

ఆయా యాప్‌లలో ఎలాంటి లోపాలను ఆయన గుర్తించారో వివరించారు.

నమో యాప్, కాంగ్రెస్ యాప్‌లు రెండూ బయటి దేశాలలోని థర్డ్ పార్టీ సర్వర్లకు సమాచారాన్ని పంపిస్తున్నాయని ఇటీవల ట్విటర్‌లో ఆయన వెల్లడించారు.

దాంతో కాంగ్రెస్ పార్టీ గూగుల్ ప్లేస్టోర్ నుంచి తన యాప్‌ను తొలగించింది. నమో యాప్‌లో గోప్యత నిబంధనలను మార్చారు.

మరి ఆ యాప్‌లలో సెక్యూరిటీ ఎలా ఉండేది? ప్రైవసీ నిబంధనలు మార్చిన తర్వాత కూడా లోపాలు ఏమైనా ఉన్నాయి? వాటితో వినియోగదారులకు ఏంటి నష్టం? లాంటి పలు ప్రశ్నలకు సమాధానాలను ఆయన ఈమెయిల్ ద్వారా బీబీసీకి వివరించారు.

ఆయన ఏం చెప్పారో చూద్దాం..

1. ప్రశ్న: నరేంద్ర మోదీ యాప్‌లోని భద్రతా నిబంధనల్లో మార్పులు చేశారు. వినియగదారుల పేరు, ఈమెయిల్, మొబైల్, డివైజ్ సమాచారం, లొకేషన్, నెట్‌వర్క్ లాంటి వివరాలను థర్డ్ పార్టీలు విశ్లేషించే అవకాశం ఉండొచ్చు అని అందులో పేర్కొన్నారు. మరి డివైజ్ సమాచారం, లొకేషన్, నెట్‌వర్క్ వివరాల లాంటి సమాచారంతో వినియోగదారుడికి ఎలాంటి ఇబ్బంది ఉంటుంది?

జవాబు: ఆ డేటాతో వ్యక్తుల ప్రొఫైల్స్ తయారు చేయొచ్చు. ఉదాహరణకు.. నమో యాప్ వినియోగదారుల ఫోన్ ఐపీ అడ్రస్‌లను సర్వర్‌కి పంపుతోంది. దాని ద్వారా వారు ఎక్కడెక్కడ తిరుగుతున్నారు? అన్న వివరాలను తెలుసుకునే వీలుంటుంది.

2. ప్రశ్న: నమో యాప్‌ నుంచి థర్డ్ పార్టీ(క్లెవర్‌టాప్)కి వెళ్తున్న సమాచారం ఎన్‌క్రిప్ట్ అవుతోందా? ఒకవేళ అవ్వకుంటే మధ్యలో మరో వ్యక్తి చొరబడి ఆ సమాచారాన్ని తెలుసుకునేందుకు ఎలాంటి అవకాశం ఉంది?

జవాబు: నమో యాప్‌లో HTTPS ప్రొటోకాల్ వాడుతున్నారు. కానీ, ఇందులో డేటా బదిలీ జరుగుతున్నప్పుడు ఎన్‌క్రిప్ట్(ఎవరికీ అర్థంకాని రూపంలోకి మారడం) అవ్వట్లేదు. దాంతో ఈ యాప్‌ సేకరించే వినియోగదారుల వ్యక్తిగత సమాచారాన్ని హ్యాకర్లు సులువుగా చదివే వీలుంటుంది.

3. ప్రశ్న: 'సందర్భానికి అనుగుణంగా', 'వినియోగదారులకు నచ్చిన భాషలో విషయాలను అందించేందుకు', వారికి 'ప్రత్యేక అనుభూతి' కలిగేలా చేసేందుకు థర్డ్ పార్టీతో డేటాను పంచుకుంటున్నట్టు నమో యాప్ నూతన గోప్యతా నిబంధనల్లో పేర్కొన్నారు. ఈ వివరణ సమ్మతమేనా?

జవాబు: యాప్‌ను మరింత ఆకర్షణీయంగా తయారు చేయటానికి వినియోగదారుల వ్యక్తిగత వివరాలు సేకరించాల్సిన అవసరంలేదు.

అంతేకాక, నమో యాప్ రాజకీయానికి సంబంధించిన అప్లికేషన్. వినియోగదారుల వ్యక్తిగత వివరాల ఆధారంగా చేసుకుని సందర్భానికి తగ్గట్టుగా విషయాలు చూపించడం అంటే అది వారిని ప్రభావితం చేయడమే అవుతుంది.

4. ప్రశ్న: ఈ డేటాను ఎన్నికల అవసరాల కోసం వాడుకునే అవకాశం ఉందని మీరు భావిస్తున్నారా?

జవాబు:ఉంటుంది. కానీ మా దగ్గర సర్వర్ కోడ్ లేదు కాబట్టి దాన్ని కచ్చితంగా నిరూపించలేం.

5. ప్రశ్న: మోదీ, కాంగ్రెస్ సభ్యత్వ నమోదు యాప్‌లలోని భద్రతా ప్రమాణాలను, పశ్చిమ దేశాల రాజకీయ పార్టీల యాప్‌లతో పోల్చి చూశారా?

జవాబు: లేదు. నేను ఇంకా పరిశీలించలేదు.

6. ప్రశ్న: కాంగ్రెస్ పార్టీ సభ్యత్వ నమోదు యాప్‌లో, వెబ్‌సైట్‌లో ఎలాంటి భద్రతా లోపాలను మీరు గుర్తించారు? (గూగుల్ ప్లే స్టోర్ నుంచి ఆ యాప్‌ని కాంగ్రెస్ తొలగించింది).

జవాబు: కాంగ్రెస్ పార్టీ యాప్ HTTP ద్వారా వినియోగదారుల వ్యక్తిగత సమాచారాన్ని బదిలీ చేసేది. ఆ సమాచారం ఎన్‌కోడ్ అవుతోంది, కానీ ఎన్‌క్రిప్ట్ అవట్లేదు.

(ఎన్‌కోడింగ్= సెండర్ నుంచి వెళ్లే సమాచారం ఎవరికీ అర్థం కాని రూపంలోకి ఒక పద్ధతి ప్రకారం మారిపోతుంది. తర్వాత రిసీవర్ వద్ద అదే పద్ధతి ద్వారా ఆ సమాచారం తిరిగి మామూలు రూపంలోకి మారుతుంది)

(ఎన్‌క్రిప్షన్= సెండర్ నుంచి వెళ్లే సమాచారం 'సెక్యూరిటీ కీ'తో ఎవరికీ అర్థం కాని రూపంలోకి మారిపోయి లాక్ అవుతుంది. ఇక దాన్ని ఏ హ్యాకర్ కూడా చూడలేడు. మళ్లీ రిసీవర్ వద్ద అదే 'కీ'తో అన్‌లాక్(డీక్రిప్ట్) అవుతుంది)

7. ప్రశ్న: భారతీయుల ఐపీ అడ్రస్ కలిగి ఉండటం మంచి ఆలోచన అని ట్వీట్‌లో పేర్కొన్నారు. ఎందుకు? దాని గురించి వివరంగా చెబుతారా?

జవాబు: ఒకవేళ మీరు రాజీకీయ పార్టీ అయి ఉండి, లక్షల మంది వివరాలు సేకరిస్తున్నప్పుడు స్వదేశంలో సర్వర్ ఏర్పాటు చేసుకోవడం మంచిది(రాజకీయంగా) అని చెప్పాను.

8. ప్రశ్న: బీజేపీ వెబ్‌సైట్(బీజేపీ.ఓఆర్‌జి)కి కూడా అంత భద్రం కాదు(ఎస్‌ఎస్‌ఎల్ సర్టిఫికెట్ లేదు). దానితోనూ ఏదైనా సమస్య ఉందా?

జవాబు: ప్రస్తుతం ఆ విషయాలు తెలుసుకునే పనిలో ఉన్నా.

9. ప్రశ్న: ఆధార్ యాప్‌లో మీరు ఎలాంటి లోపాలు గుర్తించారు? సెక్యూరిటీని మరింత పెంచినట్టు యూఐడీఏఐ తెలిపింది. అయినా ఇంకా ఏమైనా లోపాలు ఉన్నాయా? హ్యాకర్లు ఎలాంటి సమాచారాన్ని సేకరించే వీలుంది?

జవాబు: కొత్త వెర్షన్ యాప్‌ని నేను విశ్లేషించాల్సి ఉంది. ఆ తర్వాతే ఈ ప్రశ్నకు సమాధానం చెప్పగలను.

ఇవి కూడా చూడండి:

(బీబీసీ తెలుగును ఫేస్‌బుక్, ఇన్‌స్టాగ్రామ్‌, ట్విటర్‌లో ఫాలో అవ్వండి. యూట్యూబ్‌లో సబ్‌స్క్రైబ్ చేయండి.)