iPhone ज़ीरो-क्लिक एक्सप्लॉइट्स: ये कैसे काम करते हैं और खुद को कैसे सुरक्षित रखें

iPhone पर ज़ीरो-क्लिक एक्सप्लॉइट्स डिजिटल हमलों के सबसे खतरनाक रूपों में से एक हैं। इसके लिए हमलावरों को केवल आपके डिवाइस पर एक तैयार संदेश या फ़ाइल भेजनी होती है—क्लिक करने या सक्रिय रूप से खोलने की कोई आवश्यकता नहीं होती। “ज़ीरो-क्लिक” का मतलब है कि कोई उपयोगकर्ता इंटरैक्शन आवश्यक नहीं है। ये हमले अत्यंत जटिल होते हैं और मुख्य रूप से पत्रकारों, कार्यकर्ताओं या सरकारी अधिकारियों जैसे उच्च-प्रोफ़ाइल व्यक्तियों को निशाना बनाते हैं। Apple स्वयं इन हमलों का वर्णन “अत्यंत दुर्लभ लेकिन अत्यधिक परिष्कृत” के रूप में करता है और इन्हें रोकने के लिए Lockdown Mode (जिसे “Extreme Protection Mode” भी कहा जाता है) पेश किया है।

इस लेख में, हम तकनीकी स्तर पर देखेंगे कि ज़ीरो-क्लिक हमले कैसे काम करते हैं, Apple ने कौन से सुरक्षा उपाय लागू किए हैं (और हमलावर उन्हें कैसे पार कर लेते हैं), इस प्रकार के स्पाइवेयर के पीछे कौन है—विशेष रूप से NSO Group—और अंत में, आप अपने iPhone की सुरक्षा कैसे सबसे प्रभावी ढंग से कर सकते हैं।
 

तकनीकी पृष्ठभूमि: ज़ीरो-क्लिक एक्सप्लॉइट्स कैसे उत्पन्न होते हैं?

ज़ीरो-क्लिक हमला काम करने के लिए, ऑपरेटिंग सिस्टम—या iMessage जैसे किसी सेवा को—स्वचालित रूप से बिना उपयोगकर्ता हस्तक्षेप के डेटा को प्रोसेस करना होता है। यह तब होता है जब आपका iPhone नया संदेश प्राप्त करता है और तुरंत अटैचमेंट या टेक्स्ट का विश्लेषण करता है ताकि पूर्वावलोकन दिखा सके (जैसे, छवि पूर्वावलोकन या लिंक पूर्वावलोकन)।

• पार्सर और मेमोरी करप्शन

iMessage, HomeKit, WhatsApp, और अन्य सेवाएं “पार्सर” का उपयोग करती हैं ताकि डेटा (छवियां, वीडियो, दस्तावेज़) को प्रदर्शन के लिए तैयार किया जा सके। इस प्रक्रिया के दौरान जटिल मेमोरी ऑपरेशंस होते हैं, जिनमें कमजोरियां हो सकती हैं। यदि हमलावर पार्सर को ओवरफ़्लो करने में सफल हो जाते हैं (जैसे, बफ़र ओवरफ़्लो, पूर्णांक ओवरफ़्लो) या विशेष रूप से तैयार किए गए डेटा भेजकर अन्य मेमोरी त्रुटियाँ (use-after-free) उत्पन्न करते हैं, तो दुर्भावनापूर्ण कोड सिस्टम में प्रवेश कर सकता है। इस प्रारंभिक पहुँच के साथ, हमलावर आमतौर पर सैंडबॉक्स से बाहर निकलने और अंततः डिवाइस पर पूर्ण नियंत्रण प्राप्त करने का प्रयास करते हैं।

• स्वचालित प्रोसेसिंग

iPhones को इस तरह डिज़ाइन किया गया है कि वे छवियों या लिंक जैसे कंटेंट को स्वचालित रूप से प्रोसेस करते हैं ताकि उपयोगकर्ताओं को सहज अनुभव मिल सके। हालांकि, यदि आने वाले डेटा को छेड़ा जाए तो इस “पूर्वावलोकन रेंडरिंग” का दुरुपयोग किया जा सकता है। क्योंकि कोई पुष्टि आवश्यक नहीं होती, इस प्रकार के हमले को ज़ीरो-क्लिक हमला कहा जाता है।

• क्लासिक एक्सप्लॉइट्स के बजाय लॉजिक त्रुटियाँ

कुछ हमले मेमोरी त्रुटियों पर कम निर्भर होते हैं और इसके बजाय तथाकथित “लॉजिक त्रुटियों” का फायदा उठाते हैं। यहाँ, iOS में वैध लेकिन खराब डिज़ाइन किए गए फ़ंक्शन या प्रक्रियाओं का दुरुपयोग किया जाता है ताकि सुरक्षा तंत्रों को बायपास किया जा सके। एक उदाहरण है HomeKit निमंत्रण या विशेष iMessage संदेश जिन्हें सिस्टम इस तरह से प्रोसेस करता है जैसा कि कभी इरादा नहीं था, अंततः अनधिकृत कोड निष्पादन की अनुमति देता है।

संक्षेप में, ज़ीरो-क्लिक कमजोरियां इसलिए मौजूद हैं क्योंकि iOS स्वचालित रूप से और गहराई से विभिन्न कंटेंट को सिस्टम में एकीकृत करता है। जहाँ कहीं जटिल प्रक्रियाएँ होती हैं, त्रुटियाँ हो सकती हैं—और ये संभावित रूप से हमलावरों को बिना किसी उपयोगकर्ता इंटरैक्शन के दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति दे सकती हैं।
 

iOS पर ज्ञात ज़ीरो-क्लिक हमलों का तकनीकी विश्लेषण

Pegasus, Kismet, और FORCEDENTRY: iMessage के रूप में प्रवेश बिंदु

इज़राइली NSO Group ने अपने स्पाइवेयर “Pegasus” के साथ अंतरराष्ट्रीय कुख्याति प्राप्त की। Pegasus का उपयोग सरकारी संस्थान स्मार्टफोन पर जासूसी के लिए करते हैं—अक्सर प्रभावित व्यक्तियों की जानकारी के बिना।

• Kismet (2020)
  iOS 13.x चलाने वाले iPhones को iMessage में एक कमजोरी का फायदा उठाकर निशाना बनाया गया। केवल एक विशेष रूप से तैयार iMessage भेजना ही डिवाइस को समझौता करने के लिए पर्याप्त था। Apple ने इस छिद्र को iOS 14 के साथ बंद किया, जब नए सुरक्षा तंत्र पेश किए गए।
• FORCEDENTRY (2021)
  iOS 14 में नए सुरक्षा फीचर्स को बायपास किया। हमलावरों ने एक ऐसा GIF फ़ाइल भेजा जो वास्तव में एक छेड़ा हुआ PDF था। Apple की इमेज प्रोसेसिंग लाइब्रेरी (CoreGraphics) में एक कमजोरी का फायदा उठाकर iMessage सैंडबॉक्स से बाहर निकले और मनमाना कोड निष्पादित किया। उल्लेखनीय है कि FORCEDENTRY ने “BlastDoor” सुरक्षा मॉड्यूल को बायपास किया क्योंकि इसने एक ऐसे प्रक्रिया (IMTranscoderAgent) पर हमला किया जो शुरू में BlastDoor द्वारा संरक्षित नहीं था।

iMessage से परे हमले: HomeKit, Find My, और अन्य

• WhatsApp
  2019 में, WhatsApp के वीडियो कॉल फीचर में एक कमजोरी मिली जिससे Pegasus को स्थापित किया जा सकता था भले ही शिकार ने कॉल का जवाब न दिया हो। यह दिखाता है कि केवल Apple सेवाएं ही प्रभावित नहीं होतीं।
• HomeKit और Find My
  2022 में, Citizen Lab ने iOS 15/16 चलाने वाले iPhones को निशाना बनाने वाली कई ज़ीरो-क्लिक श्रृंखलाओं का पता लगाया। एक जिसे “PWNYOURHOME” कहा गया, इसमें शिकार को HomeKit-शेयरिंग निमंत्रण भेजना और HomeKit डेमॉन में एक दोष का फायदा उठाकर सिस्टम को समझौता करना शामिल था। इसके बाद iMessage के माध्यम से दूसरा एक्सप्लॉइट चरण था। Apple ने iOS 16.3.1 में इन कमजोरियों को पैच किया।
• FaceTime बग (2019)
  हालांकि यह स्पाइवेयर नहीं था, यह एक गंभीर लॉजिक त्रुटि थी: कॉल करने वाले व्यक्ति कॉल स्वीकार किए बिना कॉल किए जाने वाले व्यक्ति का माइक्रोफोन सक्रिय कर सकते थे। यह उदाहरण दर्शाता है कि कोई भी अप्रत्याशित इनपुट हमलावरों के लिए प्रवेश बिंदु बन सकता है।
• वायरलेस इंटरफेस
  2020 में, एक Google शोधकर्ता ने दिखाया कि Apple वायरलेस प्रोटोकॉल AWDL (जो AirDrop में उपयोग होता है) का उपयोग iPhones को रेंज के भीतर उपयोगकर्ता इंटरैक्शन के बिना नियंत्रित करने के लिए किया जा सकता है। इस अंतर्निहित कमजोरी को बाद में पैच किया गया।

फ़ाइल प्रारूप और तकनीकें

दुर्भावनापूर्ण फ़ाइलें अक्सर सामान्य प्रारूपों (जैसे PDF, GIF, या PassKit पैकेज) के रूप में छिपती हैं ताकि पार्सर को धोखा दिया जा सके। कई ज़ीरो-क्लिक एक्सप्लॉइट्स मेमोरी करप्शन बग्स (बफ़र ओवरफ़्लो, use-after-free, पूर्णांक ओवरफ़्लो) पर निर्भर करते हैं ताकि प्रारंभिक कोड निष्पादन हो सके, फिर सैंडबॉक्स से बाहर निकलने के लिए अतिरिक्त कमजोरियों को जोड़ा जाता है (प्रिविलेज एस्केलेशन)। नए हमले बढ़ते हुए लॉजिक त्रुटियों का उपयोग करते हैं जो सामान्य मेमोरी सुरक्षा तंत्रों को बायपास कर सकते हैं।
 

ज़ीरो-क्लिक हमलों के खिलाफ Apple के सुरक्षा उपाय

1. सैंडबॉक्सिंग और प्रिविलेज प्रतिबंध
   हर ऐप, जिसमें सिस्टम ऐप्स जैसे iMessage शामिल हैं, एक अलग वातावरण में चलता है। यदि कोई सेवा समझौता हो जाती है, तो हमलावरों को पूरे सिस्टम तक पहुँचने के लिए एक अतिरिक्त कमजोरी का फायदा उठाना पड़ता है। उदाहरण के लिए FORCEDENTRY ने कई एक्सप्लॉइट चरणों को जोड़ा।
2. ASLR (एड्रेस स्पेस लेआउट रैंडमाइजेशन)
   मेमोरी एड्रेस यादृच्छिक रूप से वितरित होते हैं, जिससे पारंपरिक एक्सप्लॉइट तकनीकें कठिन हो जाती हैं। कुशल हमलावर अक्सर जानकारी लीक या “हीप ग्रूमिंग” के साथ ASLR को बायपास करते हैं।
3. पॉइंटर ऑथेंटिकेशन (PAC)
   A12 चिप से शुरू होकर, हार्डवेयर महत्वपूर्ण पॉइंटर्स को एक गुप्त कुंजी के साथ साइन करता है। छेड़े गए पॉइंटर्स आमतौर पर क्रैश का कारण बनते हैं न कि कोड निष्पादन का। हालांकि, लॉजिक-एरर हमले PAC के लिए लगभग प्रतिरक्षित होते हैं।
4. BlastDoor
   iOS 14 में पेश किया गया, BlastDoor एक विशेष रूप से मजबूत सैंडबॉक्स प्रक्रिया के रूप में चलता है जो आने वाली iMessage सामग्री (छवियां, लिंक, अटैचमेंट) को अलग करता है। विचार यह है कि एक एक्सप्लॉइट केवल BlastDoor को प्रभावित करेगा न कि पूरे सिस्टम को। फिर भी, FORCEDENTRY ने दिखाया कि एक अप्रोटेक्टेड साइड प्रक्रिया (IMTranscoderAgent) का उपयोग करके BlastDoor को बायपास किया जा सकता है। Apple समय के साथ BlastDoor को बेहतर बनाता रहता है।
5. Lockdown Mode (Extreme Protection Mode)
   iOS 16 से उपलब्ध, यह अत्यंत उच्च जोखिम वाले उपयोगकर्ताओं के लिए है। Lockdown Mode (जिसे Blockiermodus भी कहा जाता है) कई संभावित हमले के रास्तों को बंद कर देता है, जैसे जटिल संदेश प्रकार, लिंक पूर्वावलोकन, HomeKit निमंत्रण, या अज्ञात स्रोतों से FaceTime कॉल। Citizen Lab ने पुष्टि की कि कुछ NSO हमले Lockdown Mode सक्षम होने पर विफल हो गए। हालांकि अधिकांश उपयोगकर्ताओं के लिए यह मोड बहुत अधिक प्रतिबंध लगाता है और वैकल्पिक रहता है।

इन उपायों के बावजूद, हमलावर लगातार नई कमजोरियां खोजते रहते हैं जो अभी तक BlastDoor और समान सुरक्षा उपायों द्वारा पूरी तरह से कवर नहीं हैं। यह Apple और पेशेवर एक्सप्लॉइट डेवलपर्स के बीच निरंतर हथियारों की दौड़ बनी हुई है।
 

NSO Group और अन्य: इन हमलों के पीछे कौन है?

महंगे ज़ीरो-क्लिक एक्सप्लॉइट्स का विकास आमतौर पर विशेषीकृत कंपनियों द्वारा किया जाता है जो इन हमलों को “हैकिंग-एज़-ए-सर्विस” के रूप में सरकारी ग्राहकों को बेचती हैं। उदाहरण हैं:

NSO Group (इज़राइल)
अपने Pegasus स्पाइवेयर के लिए जाना जाता है, जिसे आधिकारिक तौर पर आतंकवाद से लड़ने के लिए उपयोग किया जाता है लेकिन यह सिद्ध हुआ है कि इसका उपयोग पत्रकारों, विपक्षी नेताओं, और मानवाधिकार वकीलों के खिलाफ भी किया गया।

Candiru (इज़राइल)
“DevilsTongue” स्पाइवेयर का डेवलपर, जिसे Microsoft ने 2021 में उजागर किया और NSO के साथ संयुक्त रूप से अमेरिका में प्रतिबंधित किया गया।

Cytrox/Intellexa (यूरोप/इज़राइल)
Predator स्पाइवेयर का निर्माता। ग्रीस में दुरुपयोग की रिपोर्ट के बाद, अमेरिकी सरकार ने उन पर भी प्रतिबंध लगाए।

QuaDream (इज़राइल)
एक छोटी कंपनी जो पूर्व NSO कर्मचारियों द्वारा स्थापित की गई; Microsoft और Citizen Lab ने 2023 में इसे उजागर किया (कोडनेम “Reign”)।

FinFisher (जर्मनी/यूके) और Hacking Team (इटली)
पूर्व प्रमुख खिलाड़ी, जो घोटालों और छापों के कारण काफी कमजोर या समाप्त हो गए।

जैसे-जैसे ऐसे मामले सामने आते हैं जिनमें राज्य-प्रायोजित स्पाइवेयर का मानवाधिकार उल्लंघनों के लिए उपयोग होता है, “भाड़े के स्पाइवेयर” उद्योग पर वैश्विक दबाव बढ़ रहा है। संयुक्त राज्य अमेरिका ने कई कंपनियों को ब्लैकलिस्ट किया है और प्रतिबंध लगाए हैं। Apple ने 2021 में NSO पर मुकदमा दायर किया था लेकिन 2024 में इसे वापस ले लिया। यूरोपीय संघ में “PEGA” समिति ने Pegasus कांड की जांच की। हालांकि, ऐसी तकनीकों पर पूर्ण प्रतिबंध अभी तक लागू नहीं हुआ है।
 

स्वयं की सुरक्षा कैसे करें

हालांकि ज़ीरो-क्लिक हमले अत्यंत खतरनाक हैं, वे केवल कुछ विशेष रूप से लक्षित व्यक्तियों को प्रभावित करते हैं। जो लोग राजनीति, पत्रकारिता, सक्रियता, या इसी तरह के उच्च जोखिम वाले क्षेत्रों में काम करते हैं, उन्हें विशेष रूप से सावधान रहना चाहिए:

• iOS को अपडेट रखें
  जितनी जल्दी हो सके अपडेट इंस्टॉल करें, क्योंकि कई ज़ीरो-क्लिक हमले ज्ञात लेकिन बिना पैच की गई कमजोरियों का फायदा उठाते हैं।
• यदि उच्च जोखिम में हैं तो Lockdown Mode (Blockiermodus) सक्षम करें
  यदि आप उच्च जोखिम में हैं, तो iOS 16 और बाद के संस्करणों में Lockdown Mode सक्षम कर सकते हैं। यह कई हमले के रास्तों को ब्लॉक करता है लेकिन कुछ फीचर्स को भी प्रतिबंधित करता है।
• अज्ञात प्रेषकों से संदेशों के प्रति सतर्क रहें
  हालांकि ज़ीरो-क्लिक हमलों के लिए कोई कार्रवाई आवश्यक नहीं होती, फिर भी अप्रत्याशित अटैचमेंट्स, निमंत्रणों, या संदेशों के प्रति सावधान रहना अच्छा है।
• अप्रयुक्त सेवाओं को अक्षम करें
  यदि आप HomeKit का उपयोग नहीं करते हैं, तो इसे बंद कर सकते हैं। FaceTime या iMessage के लिए भी यही लागू होता है यदि आप वास्तव में उनकी आवश्यकता नहीं रखते। कम हमला सतह से हमले कठिन हो जाते हैं।
• वैकल्पिक मैसेंजर्स और कॉन्फ़िगरेशन पर विचार करें
  हालांकि iMessage आमतौर पर सुरक्षित माना जाता है, यह कई हमलों का प्राथमिक लक्ष्य रहा है। अन्य मैसेंजर्स (जैसे Signal, Threema, Session) कम निशाना बने हैं। साथ ही, जहां संभव हो, लिंक पूर्वावलोकन और स्वचालित मीडिया डाउनलोड अक्षम करें।
• अज्ञात प्रोफाइल या प्रमाणपत्र स्थापित करने से बचें
  केवल आधिकारिक App Store का उपयोग करें। संदिग्ध कॉन्फ़िगरेशन प्रोफाइल या एंटरप्राइज प्रमाणपत्र सुरक्षा तंत्रों को बायपास कर सकते हैं।
• अपने डिवाइस के व्यवहार की निगरानी करें
  बार-बार क्रैश, अत्यंत कम बैटरी जीवन, या Apple से चेतावनी संदेशों पर ध्यान दें। यदि आपको गंभीर समझौते का संदेह हो, तो फोरेंसिक जांच पर विचार करें, उदाहरण के लिए Mobile Verification Toolkit (MVT) के साथ।
• भौतिक सुरक्षा और सोशल इंजीनियरिंग
  अपने डिवाइस को मजबूत पासकोड से सुरक्षित रखें, इसे बिना देखरेख छोड़े नहीं, और फ़िशिंग प्रयासों के प्रति सतर्क रहें। सभी हमले केवल तकनीकी नहीं होते—सोशल इंजीनियरिंग या सीधे भौतिक पहुँच भी खतरनाक हो सकती है।

निष्कर्ष

ज़ीरो-क्लिक एक्सप्लॉइट्स एक जासूसी थ्रिलर की तरह लगते हैं—और उनकी तकनीकी परिष्कृतता वाकई उल्लेखनीय है। साथ ही, वे पीड़ितों के लिए गंभीर खतरा पैदा करते हैं क्योंकि इनके लिए कोई उपयोगकर्ता कार्रवाई आवश्यक नहीं होती। Apple ने पहले ही कई सुरक्षा तंत्र पेश किए हैं—सैंडबॉक्सिंग, पॉइंटर ऑथेंटिकेशन, BlastDoor, और Lockdown Mode—लेकिन अच्छी फंडिंग वाली कंपनियां जैसे NSO Group नई कमजोरियां खोजते रहते हैं।

सुरक्षा एक प्रक्रिया है, एक स्थिति नहीं: अपने iPhone को अपडेट रखें, अपनी सेटिंग्स समायोजित करें, और यदि आप विशेष रूप से उच्च जोखिम समूह में हैं तो Lockdown Mode सक्षम करें। अधिकांश उपयोगकर्ता सीधे ज़ीरो-क्लिक हमलों का सामना कभी नहीं करेंगे, लेकिन वे अप्रत्यक्ष रूप से Apple के निरंतर सुरक्षा अपडेट से लाभान्वित होते हैं। फिर भी, एक स्वस्थ सतर्कता इस दुनिया में सबसे अच्छी रक्षा है जहाँ अत्यंत पेशेवर हमले, दुर्भाग्य से, वास्तविकता बन चुके हैं।
 

स्रोत और आगे पढ़ाई

Apple Security Update iOS 16.6.1:
https://support.apple.com/en-us/HT213905

Apple Lockdown Mode (FAQ):
https://support.apple.com/de-de/HT212650

Google Project Zero Analysis FORCEDENTRY:
https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html

Pegasus Project – Forbidden Stories:
https://forbiddenstories.org/pegasus-project/

US Sanctions Against NSO & Intellexa:
https://home.treasury.gov/news/press-releases/jy1767

NSO Group (Wikipedia):
https://en.wikipedia.org/wiki/NSO_Group

Amnesty Tech – Mobile Verification Toolkit (MVT):
https://github.com/mvt-project/mvt

Apple Developer: BlastDoor Architecture (Video):
https://developer.apple.com/videos/play/wwdc2021/10078/

Ian Beer (Google): iPhone AWDL Wireless Exploit:
https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html