ओ.एमजी केबल: दुर्भावनापूर्ण हार्डवेयर और कीस्ट्रोक का जोखिम

एक साधारण दिखने वाली USB-C चार्जिंग केबल को किसी औद्योगिक CT स्कैनर के नीचे रख दें, तो हो सकता है कि आपको कनेक्टर के अंदर एक दूसरा कंप्यूटर छिपा हुआ मिले: मुख्य चिप के नीचे चिपका हुआ एक अतिरिक्त सिलिकॉन चिप, एक छोटा सा एंटीना, और इंसान के बाल से भी पतले बॉन्ड तार। यह किसी जासूसी फिल्म का दृश्य नहीं है। यह है O.MG केबल, एक असली, बाज़ार में बिकने वाला उपकरण जो बिल्कुल आपके डेस्क पर मौजूद केबल जैसा दिखता है।

यह गाइड बताती है कि ओ.एमजी केबल क्या है, यह वास्तव में क्या कर सकता है, और इससे बचाव कैसे किया जा सकता है, बिना यह दावा किए कि इसका कोई जादुई समाधान है। मुश्किल बात खतरे को समझना नहीं है। मुश्किल यह स्वीकार करना है कि आपकी आंखें यहां आपकी मदद नहीं कर सकतीं, और फिर भी कारगर आदतें बनाना है।

ओ.एम.जी. केबल क्या है और यह क्यों मौजूद है?

ओ.एमजी केबल किसी प्रयोगशाला से तस्करी करके लाया गया अवैध सामान नहीं है। यह कानूनी तौर पर बेचा जाने वाला सुरक्षा अनुसंधान और सुरक्षा शोध उपकरण है, और इसी दोहरे उपयोग की वजह से यह समस्या पैदा करता है। यही उपकरण एक सुरक्षा पेशेवर को अधिकृत जागरूकता अभ्यास चलाने की अनुमति देता है, और यही दुर्भावनापूर्ण तत्व किसी उधार लिए गए चार्जर को दूरस्थ सुरक्षा केंद्र में परिवर्तित करने का काम भी करता है।

डेफ कॉन डेमो से लेकर रेडीमेड उत्पाद तक

सुरक्षा शोधकर्ता माइक ग्रोवर, जो एमजी नाम से काम करते हैं, ने पहली बार 2019 में डेफ कॉन हैकिंग सम्मेलन में इस केबल का प्रदर्शन किया था। उन्होंने शुरुआती यूनिट्स को लगभग 200 डॉलर प्रति यूनिट की कीमत पर हाथ से बनाया था। इसकी खासियत इसकी नवीनता नहीं, बल्कि इसकी सुलभता थी। खुफिया एजेंसियां वर्षों से इम्प्लांटेड केबल बना रही थीं; कथित तौर पर लीक हुए एनएसए टूल, कॉटनमाउथ-आई की कीमत लगभग 20,000 डॉलर थी। ओ.एमजी केबल ने एक अच्छी डिनर की कीमत पर आम लोगों के लिए वैसी ही क्षमता उपलब्ध करा दी। वाइस की रिपोर्ट के अनुसार , 2021 तक ग्रोवर ने यूनिट्स को हाथ से सोल्डर करने से आगे बढ़कर इनका बड़े पैमाने पर उत्पादन शुरू कर दिया था। यही वह क्षण था जब एक खास सम्मेलन में प्रदर्शित उत्पाद आम लोगों के लिए ऑर्डर करने योग्य बन गया। आज यह Hak5 के माध्यम से कई कनेक्टर प्रकारों में बेचा जाता है, जिनमें USB-C, USB-A और लाइटनिंग शामिल हैं, और यह बेसिक मॉडल से लेकर कहीं अधिक सक्षम एलीट मॉडल तक विभिन्न श्रेणियों में उपलब्ध है।

एक सुरक्षा उपकरण जिसका एक खतरनाक जुड़वां भी है

खुलेआम बेची जाने वाली यह केबल निष्क्रिय अवस्था में भेजी जाती है और इसे सक्रिय करने के लिए एक अलग प्रोग्रामर की आवश्यकता होती है, जिससे विक्रेता का मुनाफा बना रहता है। लेकिन मूल बात वही है: एक ऐसी क्षमता जिसके लिए पहले सरकारी बजट की आवश्यकता होती थी, अब व्यावसायिक रूप से उपलब्ध है। जब एक शक्तिशाली उपकरण लगभग मुफ्त में उपलब्ध हो और एक आम वस्तु की तरह लगे, तो बाकी सभी के लिए खतरे का मॉडल बदल जाता है, चाहे उन्हें पसंद हो या न हो।

ओ.एम.जी. केबल सबके सामने कैसे छिपी रहती है

अधिकांश सुरक्षा सलाह यह मानती है कि आप जो भी प्लग इन करते हैं उसकी जांच कर सकते हैं। ओ.एमजी केबल इस धारणा को तोड़ता है, और दिसंबर 2024 में किए गए एक विश्लेषण से पता चला कि इसकी कितनी बारीकी से जांच की जा सकती है।

सीटी स्कैन से क्या पता चला

दिसंबर 2024 में, इंजीनियरिंग फर्म लुमाफील्ड ने एक O.MG USB-C केबल पर औद्योगिक CT स्कैन किया और उसकी तुलना एक मानक केबल से की। टॉम्स हार्डवेयर के अनुसार , इस दोषपूर्ण कनेक्टर के अंदर उन्हें एक छिपा हुआ एंटीना और प्राथमिक माइक्रोकंट्रोलर के नीचे एक सेकेंडरी डाई मिली, जो इतने पतले तारों से जुड़ी थी कि स्कैन को उन्हें दिखाने के लिए सेटिंग्स में बदलाव करना पड़ा। एक साधारण चार्जिंग केबल में ऐसा कुछ नहीं होता। इस दोषपूर्ण केबल में उसी जगह में एक छोटा वायरलेस कंप्यूटर लगा हुआ है।

आप इसे देखकर क्यों नहीं पहचान सकते?

अब आता है सबसे मुश्किल हिस्सा। इम्प्लांट कनेक्टर मोल्डिंग में इस तरह से लगा होता है कि बाहर से दिखाई नहीं देता। आँखों से देखकर पता लगाना नामुमकिन है। यहाँ तक कि एक सामान्य 2D एक्स-रे भी छिपे हुए चिप को पकड़ नहीं पाता, क्योंकि यह असली चिप के ठीक नीचे होता है और उसमें घुलमिल जाता है। केबल का वज़न लगभग उतना ही होता है, यह आपके फ़ोन को सामान्य रूप से चार्ज करता है और किसी भी अन्य केबल की तरह डेटा ट्रांसफर करता है। किसी औद्योगिक सीटी स्कैनर या सावधानीपूर्वक खोलकर केबल को नष्ट किए बिना, आप इसे देखकर इम्प्लांट की पुष्टि नहीं कर सकते। यही एक तथ्य आगे दी जाने वाली हर सलाह को बदल देता है।

मैं इस बात पर थोड़ा गौर करना चाहता हूँ कि यह कितना असामान्य है, क्योंकि यह मुझे अब भी परेशान करता है। अधिकांश सुरक्षा खतरों के लिए, जाँच ही सबसे कारगर उपाय है: आप क्लिक करने से पहले URL पढ़ सकते हैं, फ़ाइल के हस्ताक्षर की जाँच कर सकते हैं या प्रेषक का पता देख सकते हैं। हार्डवेयर इम्प्लांट्स इस विकल्प को पूरी तरह से खत्म कर देते हैं। जिस चीज़ की आप सामान्यतः जाँच करते हैं, वही चीज़ खतरे में पड़ जाती है, और इसे इस तरह से डिज़ाइन किया जाता है कि जाँच से आपको कुछ भी पता न चले। इसी उलटफेर के कारण इस गाइड का बाकी हिस्सा पता लगाने के बजाय व्यवहार और स्रोत पर अधिक ज़ोर देता है।

एक O.MG केबल वास्तव में क्या कर सकता है

कल्पना कीजिए एक चार्जिंग केबल की जो गुप्त रूप से कीबोर्ड का काम करती है। यही तो असली तरकीब है। इसे कंप्यूटर में प्लग करें और यह खुद को एक ह्यूमन इंटरफेस डिवाइस (ह्यूमन इंटरफेस डिवाइस) के रूप में पेश कर सकती है, ठीक उसी श्रेणी में जिस श्रेणी का कीबोर्ड आप टाइप करते हैं, और ऑपरेटिंग सिस्टम इसे देखते ही पहचान लेता है। फिर यह टाइप करने लगती है। किसी भी इंसान से कहीं ज़्यादा तेज़ी से, बिना किसी फ़ाइल को स्कैन किए और बिना किसी स्पष्ट गड़बड़ी के।

कीबोर्ड का यह छलावा इतना कारगर क्यों है? क्योंकि ऑपरेटिंग सिस्टम इनपुट डिवाइसों पर बिना किसी सवाल के भरोसा करने के लिए बनाए गए हैं। कीबोर्ड कभी टाइप करने की अनुमति नहीं मांगता, और टेक्स्ट टाइप करना शुरू करने पर कोई एंटीवायरस भी अलर्ट नहीं होता, क्योंकि कीबोर्ड का मुख्य काम ही टाइप करना है। केबल किसी खास सॉफ्टवेयर बग की बजाय इसी भरोसे का फायदा उठाती है। यही कारण है कि सिर्फ पैच लगाने से समस्या हल नहीं होगी।

इस केबल में वेब इंटरफ़ेस के साथ अपना खुद का वाई-फ़ाई एक्सेस प्वाइंट भी है, जिससे ऑपरेटर दूर से कनेक्ट होकर बिना किसी को पता चले गतिविधि शुरू कर सकता है। उच्च स्तरीय संस्करणों में जियोफेंसिंग, इम्प्लांट को निष्क्रिय करने वाला सेल्फ-डिस्ट्रक्ट फ़ंक्शन और ऑनबोर्ड हार्डवेयर कीलॉगर जैसी सुविधाएं शामिल हैं। क्षमताएं स्तर के अनुसार बढ़ती हैं, और यह अंतर काफी बड़ा है।

एलीट के आंकड़े Hak5 के अपने स्तर के तुलनात्मक विश्लेषण से लिए गए हैं। एक लॉगर जो केबल पर ही 650,000 कीस्ट्रोक्स स्टोर कर सकता है, वह किसी के ध्यान दिए बिना चुपचाप बहुत सारे पासवर्ड कैप्चर करने के लिए पर्याप्त है, और लगभग 890 कीस्ट्रोक्स प्रति सेकंड की गति से एलीट स्क्रीन से नज़र हटाने के समय में ही पूरा पेलोड डिलीवर कर सकता है।

असली खतरा: डेटा चोरी के परिदृश्य

O.MG केबल की तकनीक शानदार है, लेकिन खतरा सामाजिक है। कोई भी इसे जबरदस्ती आप तक नहीं पहुंचाता; वे इसे सीधे आपको दे देते हैं या ऐसी जगह छोड़ देते हैं जहां से आप इसे उठा सकें। केबल सस्ती है, डिलीवरी मानवीय है, और यही संयोजन इसे वास्तविक दुनिया में कारगर बनाता है।

कुछ सामान्य हमले के परिदृश्य इस पैटर्न को दर्शाते हैं। नीचे दी गई तालिका उन रोज़मर्रा की स्थितियों को दर्शाती है जहाँ किसी अंतर्निहित केबल के आप तक पहुँचने की सबसे अधिक संभावना होती है, और प्रत्येक स्थिति को निष्क्रिय करने वाली एक आदत का विवरण भी देती है।

क्योंकि यह केबल कीबोर्ड की तरह काम करती है, इसलिए यह विंडोज, मैकओएस, लिनक्स और मोबाइल प्लेटफॉर्म पर चलती है, इस प्रकार कोई भी ऑपरेटिंग सिस्टम अपने आप सुरक्षित नहीं है। यह सबक पुराना है, बस इसे नए हार्डवेयर पर लागू किया गया है: मुफ्त केबल कोई उपहार नहीं है, बल्कि एक अनजान उपकरण है।

चार्जिंग का जोखिम: क्या वॉल आउटलेट मददगार है?

लोग अक्सर यह सवाल पूछते हैं। अगर मैं केबल को सिर्फ वॉल चार्जर में ही लगाऊं, कभी कंप्यूटर में नहीं, तो क्या मैं सुरक्षित हूं? काफी हद तक। लेकिन पूरी तरह नहीं। कीस्ट्रोक इंजेक्शन के लिए किसी होस्ट की ज़रूरत होती है, इसलिए पावर एडॉप्टर से लटकी केबल के पास हमला करने के लिए कोई मशीन नहीं होती। यह बात वाकई राहत देने वाली है, और इसे साफ-साफ कहना ज़रूरी है।

लेकिन बिजली तो बिजली ही होती है। वॉल आउटलेट से डिवाइस बंद नहीं हो जाता। केबल के अपने इलेक्ट्रॉनिक उपकरण, जिनमें वाई-फाई रेडियो भी शामिल है, आपके फोन को चार्ज करते समय भी करंट लेते रहते हैं और चलते रहते हैं। इसलिए नियम सिर्फ "चार्जर का इस्तेमाल करें" तक सीमित नहीं है। यह कुछ इस तरह है: जिस केबल पर आपको भरोसा न हो, उसे अपनी किसी भी कीमती चीज से न जोड़ें, और "सिर्फ बिजली" को "हानिकारक नहीं" न समझें।

संदिग्ध केबल की पहचान और सत्यापन कैसे करें

चूंकि आप किसी इम्प्लांट को आंखों से नहीं देख सकते, इसलिए व्यावहारिक लक्ष्य पूर्ण पहचान हासिल करने के बजाय अंधविश्वास को कम करना है। एक विशेष रूप से निर्मित विकल्प मौजूद है: ओ.एम.जी. मैलिशियस केबल डिटेक्टर, जिसकी कीमत लगभग 40 डॉलर है और यह साइड-चैनल पावर विश्लेषण का उपयोग करता है, जो Hak5 के उत्पाद विनिर्देशों के अनुसार , इम्प्लांट के विद्युत संकेत को चिह्नित करने के लिए प्रति सेकंड लगभग 200,000 बार कनेक्टेड केबल का नमूना लेता है।

इससे मदद मिलती है। लेकिन इसके दस्तावेज़ों को ईमानदारी से पढ़ें: यह एक शुरुआती जांच उपकरण है, फोरेंसिक उपकरण नहीं, और इसके निर्माता यह बात स्पष्ट रूप से कहते हैं। यह हर तरह के इम्प्लांट का पता नहीं लगा सकता, और यह कभी भी केबल की शुद्धता साबित नहीं कर सकता। इसलिए, केबल की उत्पत्ति पर भरोसा करें। केबल सीधे निर्माता या अधिकृत विक्रेता से खरीदें। अपने केबल संभाल कर रखें और उन पर लेबल लगाएं। और वजन या स्पर्श को पहचान का जरिया न मानें, क्योंकि एक अच्छा इम्प्लांट इन दोनों में कोई बदलाव नहीं लाता जिसे आपका हाथ महसूस कर सके। O.MG केबल के खतरे के लिए, सत्यापन का असली मतलब है कि आप अपने केबलों के स्रोत को नियंत्रित करें, न कि अपने पास मौजूद केबलों की जांच करें।

ओ.एम.जी. केबल के जोखिम को कैसे कम करें

इस खतरे को पूरी तरह से खत्म करने वाला कोई एक उपाय नहीं है। जो भी आपको ऐसा उपाय बेचने की कोशिश करे, वह झूठे वादे कर रहा है। यहाँ बचाव कई स्तरों में करना पड़ता है, और सबसे सस्ता उपाय भी सबसे महंगे उपाय से हमेशा बेहतर होता है: कभी भी किसी ऐसे केबल को प्लग इन न करें जो आपका अपना न हो। बाकी सब कुछ बस इसी एक आदत को पुष्ट करता है।

व्यक्तियों के लिए

अपने साथ केबल और चार्जर रखें और उनका इस्तेमाल करें। सार्वजनिक स्थानों पर चार्जिंग के लिए, यूएसबी डेटा ब्लॉकर (जिसे यूएसबी कंडोम भी कहा जाता है) डेटा पिन को भौतिक रूप से काट देता है, जिससे केवल बिजली प्रवाहित होती है और आउटलेट पर केबल द्वारा डेटा चोरी की संभावना खत्म हो जाती है। हर जगह टू-फैक्टर ऑथेंटिकेशन चालू रखें, ताकि अगर कोई कीलॉगर पासवर्ड कैप्चर भी कर ले, तो चोरी किए गए क्रेडेंशियल से ही सिस्टम में प्रवेश न हो सके। और अज्ञात यूएसबी स्टिक की तरह ही, अज्ञात केबलों के लिए भी सावधानी बरतें, क्योंकि अब वे भी उसी तरह के जोखिम में हैं।

टीमों और कार्यालयों के लिए

संगठनों के पास अब और भी मजबूत उपाय हैं। एंडपॉइंट नीतियां USB उपकरणों को उनके विक्रेता और उत्पाद ID के आधार पर अनुमति सूची में डाल सकती हैं, ताकि किसी मशीन पर अचानक दिखाई देने वाला कोई नया कीबोर्ड विश्वसनीय होने के बजाय अवरुद्ध या चिह्नित हो जाए। एकीकृत एंडपॉइंट प्रबंधन और समूह नीति यह प्रतिबंधित कर सकती है कि किन डिवाइस श्रेणियों को अनुमति दी जानी चाहिए, और किसी ऐसे स्थान पर नए HID डिवाइस के दिखने पर अलर्ट जारी कर सकती है जहां उसे नहीं होना चाहिए। उच्च जोखिम वाले वातावरणों के लिए, रेडियो-फ्रीक्वेंसी मॉनिटरिंग केबल के वायरलेस संचार को पकड़ सकती है। आपूर्ति श्रृंखला की स्वच्छता भी महत्वपूर्ण है: ज्ञात विक्रेताओं से परिधीय उपकरण प्राप्त करें, और अप्रत्याशित उपहार या प्रतिस्थापन के रूप में प्राप्त केबलों के प्रति सतर्क रहें। इनमें से कोई भी उपाय अपने आप में पूर्ण नहीं है, यही कारण है कि आप एक साथ कई उपायों का उपयोग करते हैं। लक्ष्य एक पूर्ण सुरक्षा कवच बनाना नहीं है, बल्कि इतनी ओवरलैपिंग परतें बनाना है कि एक अकेला केबल चुपचाप अपना काम न कर सके। एक टीम जो डिवाइस अनुमति सूची, नए कीबोर्ड पर एंडपॉइंट अलर्ट और एक सरल "केवल कंपनी द्वारा जारी केबल का उपयोग करें" नीति को संयोजित करती है, वह एक भी विशेष उपकरण खरीदे बिना अधिकांश व्यावहारिक समस्याओं को हल कर सकती है।

निष्कर्ष: ओ.एम.जी. केबल के खतरे से निपटने के लिए क्या करें

O.MG केबल की सबसे बड़ी खासियत यह है कि यह हमारी सबसे आम सहज प्रवृत्ति को चुनौती देती है: किसी चीज़ को देखो, फिर तय करो कि वह सुरक्षित है या नहीं। यहाँ, देखने से कुछ पता नहीं चलता। यह केबल जानबूझकर अदृश्य बनाई गई है। इसलिए, जो सुरक्षा वास्तव में लंबे समय तक बनी रहती है, वह एक आदत है, कोई उपकरण नहीं। अनजान केबलों को उसी तरह संभालें जैसे एक सतर्क प्रशासक अनजान USB स्टिक्स को संभालता है, और अधिकांश जोखिम अपने आप खत्म हो जाएगा। फिर एक बड़ा और अधिक असहज सवाल उठता है। जैसे-जैसे हमारे आसपास का ज़्यादातर हार्डवेयर एक सीलबंद ब्लैक बॉक्स में बदलता जा रहा है, हम रोज़ाना जो कुछ भी प्लग इन करते हैं, उसमें से कितना हम केवल विश्वास के आधार पर इस्तेमाल कर रहे हैं?

Mathis Curcio

Mathis Curcio is a senior content strategist and NFT specialist at Plisio. With over 5 years of experience in the Web3 space, Mathis focuses on the evolution of NFT ecosystems, digital collectibles, and decentralized ownership models. He creates accessible, insight-driven content that bridges the gap between blockchain innovation and mainstream adoption. His expertise spans NFT market trends, use cases across art and gaming, and the infrastructure powering next-generation tokenized assets.