У телефонів є вуха. Як захиститися від шпигунського ПЗ Pegasus

Скандал зі шпигунським софтом Pegasus ( "Пегас") продовжує набирати обертів після розслідування видання The Guardian і ще 16 медіа-організацій. Фокус розбирався, як працює система і чи можна захиститися від стеження.

Як запевняє розробник Pegasus, компанія NSО, програма призначена для боротьби з терористами і злочинними елементами, проте журналісти з'ясували, що її використовували для стеження за політиками, правозахисниками та активістами в різних країнах світу. Всі ці люди могли стати жертвами авторитарних режимів, самі того не підозрюючи.

Як працює ПО Pegasus і що загрожує користувачам

За даними сайту Android Authority, компанія NSO Group продає Pegasus урядовим органам за мільйони доларів. Це комерційне шпигунське програмне забезпечення для смартфонів, яка вважається одним з найскладніших. Після зараження систем Android або iOS смартфони перетворюються в повноцінні пристрої для стеження.

Як працює ПО Pegasus і до яких даних власника може отримати доступ:

• журнал викликів;
• прослуховування дзвінків;
• фотографій;
• електронних листів;
• камери і мікрофону;
• СМС-повідомленнь;
• повідомленнь WhatsApp, Telegram, Signal та інших месенджерах.

Найбільш ранні версії Pegasus помітили ще в 2016 році, проте з тих пір програма значно еволюціонувала. Клієнт, який купив шпигунський софт, після підключення до чужого смартфону може як просто дивитися інформацію, так і копіювати її. Комбінуючи такі функції з можливістю доступу до даних про минуле і актуальному місцезнаходження, він може дізнатися всю таємницю своєї жертви. Журналісти впевнені, що деякі уряди використовує ці можливості для переслідування журналістів, бізнесменів, релігійних, громадських та політичних діячів, неугодних діючій владі.

Zero-day в ПО Pegasus

Будь-яке програмне забезпечення містить помилки, які називаю багами. Їх кількість безпосередньо залежить від складності програми: більше коду = більше помилок. Переважна більшість помилок проявляються у вигляді неправильної роботи функцій і викликають лише невеликі незручності. Відповідальні розробники намагаються швидко їх виправляти (фіксити), випускаючи оновлення, проте часто навіть відомі проекти підтримуються лише невеликою групою ентузіастів. Нещодавно в ядрі Linux були виявлені три помилки, пов'язані з безпекою, які існували протягом 15 років.

Найбільшу загрозу представляють якраз баги в системі безпеки ПЗ, адже через них зловмисники можуть отримати доступ до всієї операційній системі. Google визнала ситуацію настільки небезпечною, що навіть запустила систему винагороди за повідомлення про критичну помилку в Android, Chrome або Google Play, таким чином за 2020 рік компанія виплатила 6,7 мільйона доларів. Amazon, Apple і Microsoft поділяють таку політику.

Незважаючи на всі зусилля, в коді Android, iOS, Windows, macOS і Linux все ще ховається безліч невідомих багів, які загрожують безпеці пристрою. Серед них виділяються "zero-day", коли лазівка відома третій стороні, але розробник програми про неї не знає. Така назва означає, що у автора було нуль днів на виправлення проблеми до її виявлення.

Дуже складно знайти "zero-day" в програмному забезпеченні, і використовувати теж непросто, однак саме через такі "дірки" діє "Пегас". Компанія NSO зібрала команду фахівців, які досліджують і аналізують найдрібніші деталі операційних систем, таких як Android і iOS в пошуках уразливих місць. Ці слабкості потім перетворюють в механізми для злому смартфонів і ПК. Кінцева мета полягає в отриманні привілейованого доступу і контролю над пристроєм. Як тільки підвищення привілеїв буде досягнуто, Pegasus отримує можливість встановлювати додатки, змінювати налаштування, вивчати дані і активувати функції, які зазвичай вимагають дозволу власника, наприклад увімкнення камери.

Щоб використовувати уразливість 0-дня, необхідний вектор атаки — спосіб проникнення експлойта в систему. Вони часто вдають із себе посилання в повідомленнях або електронних листах, які запускають скачування і установку шкідливого По. У такого софта тільки одне завдання: спробувати використовувати уразливість нульового дня. На жаль, існують експлойти "нульового кліку", коли процес виконується без участі користувача. Згідно з дослідженням, Pegasus активно використовував помилки в iMessage і Facetime протягом 2019 року і міг встановлювати себе, просто зателефонувавши на телефон жертви.

Як захиститися від шпигунського ПЗ Pegasus

У цій справі дуже багато залежить від розробників: наскільки швидко вони знайдуть і виправлять уразливості, які вже використовувала програма. Android Authority зазначає, що поки у експертів з кібербезпеки немає повного списку "лазівок", що становлять загрозу для користувачів. Android і iOS мають власні частки зареєстрованих вразливостей, публічно розкриті загрози отримують номер в списку Загальних вразливостей і ризиків (Common Vulnerabilities and Exposures). За 2020 рік Android склав 859 звітів про CVE, iOS, в свою чергу, опублікував всього 304, при цьому 140 з них допускали несанкціоноване виконання коду (Android таких виявилося 97). Чотири звіту стосувалися оцінки привілеїв в iOS, в той час як три звіти стосувалися оцінки привілеїв в Android.

Що ж робити користувачам? Якщо урядова структура всерйоз націлилася на людину, уникнути стеження в 2021 році буде дуже важко, адже навколо занадто багато електроніки. Найрадикальнішим і простим рішенням буде відмова від смартфона — так влада точно не зможе стежити за вами. У якості безпечної альтернативи власник може залишати пристрій вдома або у машині перед тим, як відправитися на важливу зустріч. Слід також переконатися, що поруч немає чужих телефонів, з допомогою яких влада може вести стеження. Також можна окремо відключити камеру або інші елементи, що Едвард Сноуден і продемонстрував в 2016 році.

Ще один спосіб, який значно знижує ризик попастися на гачок шпигунів: ніколи не натискати на посилання, якщо є хоч найменші сумніви в її достовірності та безпеки. Від необдуманих дій можуть постраждати власники гаджетів як на Android, так і на iPhone — не можна бути на 100% впевненим у надійності ОС, щоб не говорили розробники. Як з'ясували експерти, в 2019 році Pegasus активно використовував вразливості в Facetime, які дозволяли йому непомітно встановлюватися на iPhone та інші пристрої від Apple, хоча їх система безпеки вважається доволі надійною.

Наостанок, користувачам варто бути пильними, але врівноваженими. Історія з Pegasus — це ще не кінець світу, але ігнорувати її теж не можна. Варто попередити всіх знайомих, родичів і навіть колег про загрозу стеження і заходи безпеки, які допоможуть її уникнути.

Раніше Фокус писав, хто шпигує за людьми за допомогою Pegasus. Лідером серед клієнтів NSO Group стала Мексика, з 50 тисяч номерів телефонів, які могли стати жертвами шпигунства, близько 15 тисяч зареєстровані саме в цій країні.