У телефонов есть уши. Как защититься от шпионского ПО Pegasus

Скандал со шпионским софтом Pegasus ("Пегас") продолжает набирать обороты после расследования издания The Guardian и еще 16 медиа-организаций. Фокус разбирался, как работает система и можно ли защититься от слежки.

По заверениям разработчика Pegasus, компании NCО, программа предназначена для борьбы с террористами и преступными элементами, однако журналисты выяснили, что ее использовали для слежки за политиками, правозащитниками и активистами в разных странах мира. Все эти люди могли стать жертвами авторитарных режимов, сами того не подозревая.

Как работает ПО Pegasus и что грозит пользователям

По данным сайта Android Authority, компания NSO Group продает Pegasus правительственным органам за миллионы долларов. Это коммерческое шпионское программное обеспечение для смартфонов, которая считается одной из самых сложных. После заражения систем Android или iOS смартфоны превращаются в полноценные следящие устройства.

Как работает ПО Pegasus и к каким данным владельца могут получить доступ:

• журналу вызовов;
• прослушке звонков;
• фотографиям;
• электронным письмам;
• камере и микрофону;
• СМС-сообщениям;
• сообщениям в WhatsApp, Telegram, Signal и других мессенджерах.

Самые ранние версии Pegasus заметили еще в 2016 году, однако с тех пор программа значительно эволюционировала. Клиент, купивший шпионский софт, после подключения к чужому смартфону может как просто смотреть информацию, так и копировать ее. Комбинируя такие функции с возможностью доступа к данным о прошлом и актуальном местоположении, он может узнать всю подноготную своей жертвы. Журналисты уверены, что некоторые правительства использует эти возможности для преследования журналистов, бизнесменов, религиозных, общественных и политических деятелей, неугодных действующей власти.

Уязвимость нулевого дня в ПО Pegasus

Любое программное обеспечение содержит ошибки, которые называю багами. Их количество напрямую зависит от сложности программы: больше кода = больше ошибок. Подавляющее большинство ошибок проявляются в виде неправильной работы функций и вызывают лишь мелкие неудобства. Ответственные разработчики стараются быстро их исправлять (фиксить), выпуская обновления, однако часто даже известные проекты поддерживаются лишь небольшой группой энтузиастов. Недавно в ядре Linux были обнаружены три ошибки, связанные с безопасностью, которые существовали в течение 15 лет.

Самую большую угрозу представляют как раз баги в системе безопасности ПО, ведь из-за них злоумышленники могут получить доступ ко всей операционной системе. Google признала ситуацию настолько опасной, что даже запустила систему вознаграждения за сообщения о критических ошибках в Android, Chrome или Google Play, таким образом за 2020 год компания выплатила 6,7 миллиона долларов. Amazon, Apple и Microsoft разделяют такую политику.

Несмотря на все усилия, в коде Android, iOS, Windows, macOS и Linux все еще скрывается множество неизвестных багов, угрожающих безопасности устройства. Среди них выделяются "уязвимости нулевого дня", когда лазейка известна третьей стороне, но разработчик программы о ней не знает. Такое название означает, что у автора было ноль дней на исправление проблемы до ее обнаружения.

Очень сложно найти "уязвимость нулевого дня" в программном обеспечении, и использовать тоже непросто, однако именно через такие "дыры" действует "Пегас". Компания NSO собрала команду специалистов, которые исследуют и анализируют мельчайшие детали операционных систем, таких как Android и iOS в поисках уязвимых мест. Эти слабости затем превращают в механизмы для взлома смартфонов и ПК. Конечная цель заключается в получении привилегированного доступа и контроля над устройством. Как только повышение привилегий будет достигнуто, Pegasus получает возможность устанавливать приложения, менять настройки, изучать данные и активировать функции, которые обычно требуют разрешения владельца, например включение камеры.

Чтобы использовать уязвимость 0-дня, необходим вектор атаки – способ проникновения эксплойта в систему. Они часто представляют из себя ссылки в сообщениях или электронных письмах, которые запускают скачивание и установку вредоносного По. У такого софта только одна задача: попытаться использовать уязвимость нулевого дня. К сожалению, существуют эксплойты "нулевого щелчка", когда процесс выполняется без участия пользователя. Согласно исследованию, Pegasus активно использовал ошибки в iMessage и Facetime в течение 2019 года и мог устанавливать себя, просто позвонив на телефон жертвы.

Как защититься от шпионского ПО Pegasus

В этом деле очень много зависит от разработчиков: насколько быстро они найдут и исправят уязвимости, которые уже использовала программа. Android Authority отмечает, что пока у экспертов по кибербезопасности нет полного списка "лазеек", представляющих угрозу для пользователей. Android и iOS имеют собственные доли зарегистрированных уязвимостей, публично раскрытые угрозы получают номер в списке Общих уязвимостей и рисков (Common Vulnerabilities and Exposures). За 2020 год Android составил 859 отчетов о CVE, iOS, в свою очередь, опубликовал всего 304, при этом 140 из них допускали несанкционированное выполнение кода (Android таких оказалось 97). Четыре отчета касались оценки привилегий в iOS, в то время как три отчета касались оценки привилегий в Android.

Что же делать пользователям? Если правительственная структура всерьез нацелилась на человека, избежать слежки в 2021 году будет очень трудно, ведь вокруг слишком много электроники. Самым радикальным и простым решением будет отказ от смартфона – так власти точно не смогут следить за вами. В качестве безопасной альтернативы владелец может оставлять устройство дома или в машине перед тем, как отправиться на важную встречу. Следует также убедиться, что рядом нет чужих телефонов, с помощь которых власти могут вести слежку. Еще можно отдельно отключить камеру или другие элементы, что Эдвард Сноуден и продемонстрировал в 2016 году.

Еще один способ, который значительно снижает риск попасться на крючок шпионов: никогда не нажимать на ссылки, если есть хоть малейшие сомнения в ее подлинности и безопасности. От необдуманных действий могут пострадать владельцы гаджетов как на Android, так и на iPhone – нельзя быть на 100% уверенным в надежности ОС, чтобы не говорили разработчики. Как выяснили эксперты, в 2019 году Pegasus активно использовал уязвимости в Facetime, которые позволяли ему незаметно устанавливаться на iPhone и другие устройства от Apple, хотя их система безопасности считается весьма надежной.

Напоследок, пользователям стоит быть бдительными, но уравновешенными. История с Pegasus – это еще не конец света, но игнорировать ее тоже нельзя. Стоит предупредить всех знакомых, родственников и даже коллег об угрозе слежки и мерах безопасности, которые помогут ее избежать.

Ранее Фокус писал, кто шпионит за людьми при помощи Pegasus. Лидером среди клиентов NSO Group стала Мексика, из 50 тысяч номеров телефонов, которые могли стать жертвами шпионажа, около 15 тысяч зарегистрированы именно в этой стране.