A lap forrásai szerint a szlovák állami szervek nemrég vették meg azt az eszközt, amellyel a mobilok mikrofonjait, kameráit, és a kijelzőket is meg tudják figyelni, képesek letölteni a chatalkalmazások tartalmát, de akár fájlokat is feltudnak juttatni az így feltört eszközökre. A lap forrásai az izraeli Pegasus kémszoftvert emlegették.
Magával a Pegasus nevével először 2021-ben találkozhattunk előbb a Forbidden Stories nevű, 17 szerkesztőséget összefogó tényfeltáró újságírói hálózat nyomozása, majd az ezt követő lehallgatási botrányok kapcsán. A Pegasus neve több Uniós országban történt megfigyelés révén vállt igazán ismertté.
Magyarországról a Direkt36 vett részt a nyomozásban, a kiszivárgott adatbázisban több mint 50 ezer olyan telefonszám volt, amelyeket a tényfeltáró projekt kutatásai szerint az NSO-ügyfelek megfigyelési célpontként választottak ki 2016-tól kezdve a világ több mint 50 országából. A 2021-es botrányt követően szinte hónapról hónapra találkozhatunk a Pegasussal összefüggésbe hozott lehallgatási és megfigyelési esetekkel.
Mi az a Pegasus?
A görög mitológiai lényről elnevezett eszközt szokás kiberfegyvernek is nevezni, alapvetően egy olyan szoftver amivel Android és iOS operációs rendszerrel működő mobil eszközöket, telefonokat és tableteket lehet feltörni.
A feltörés módjának egyik útja az úgynevezett „nulladik napi sebezhetőség” (angolul zero-day vulnerability). Ez lényegében egy olyan biztonsági rés vagy hiba kihasználása egy-egy szoftverben vagy operációs rendszerben, amelyet a fejlesztők még nem ismernek, és amelyre még nem létezik javítás vagy frissítés.
A másik gyakori módszer az úgynevezett „zero click” támadás. Az ilyen típusú behatolás során a felhasználónak nem kell semmilyen műveletet végrehajtania (például egy linkre kattintani vagy egy fájlt megnyitni) ahhoz, hogy a támadás sikeres legyen. Ez a támadási forma különösen veszélyes, mivel a felhasználó előtt észrevétlen marad. Ilyenkor a támadók olyan sebezhetőségeket használnak ki, amelyek a szoftverek, például üzenetküldő alkalmazások, e-mail kliensek vagy operációs rendszerek automatikus feldolgozási folyamatainak mélyén rejtőznek, például a csatolmányok automatikus megnyitása, letöltése.
Egyes esetekben a hagyományosnak nevezhető ártalmas linkel ellátott üzenetekkel is megfertőzhetik a célbavett eszközöket. A támadási formák ezen széles skálája arra enged következtetni, hogy a behatolásokat célpontonként választják ki és közvetlen felügyelet állnak. Ugyanakkor nem zárható ki teljesen az sem, hogy ezek a behatolások végrehajthatók automatizáltan is.
Miután a softwer bejutott az eszköz operációs rendszerébe minden a telefonon tárolt információhoz hozzátud férni, képekhez, hang és szöveges fájlokhoz, valamint a telefonra telepített üzenetküldő applikációk tartalmához. Ez utóbbi azért fontos, mert az eszköz tulajdonosa így hiába használ titkosított kommunikációra képes applikációt, a feltörés révén a Pegasust irányítók ehhez a programhoz úgy férnek hozzá mintha az eszköz tulajdonosai lennének.
Lehet-e védekezni a Pegasussal szemben?
A válasz kettős: igen is meg nem is. Fogalmazzunk úgy, vannak jelei ha már a telefonunkat megfertőzte a Pegasus, de ezen jelek nélkül is lassítható, akadályozható a vélten vagy valósan jelenlevő program működése. Az egyik ajánlott módszer a telefon napi szintű újraindítása. A védekezés vagy elhárítás lehet technikai és szokásbeli.
De mint minden kibertámadás esetében a Pegasus ellen is védekezhetünk úgy, hogy nem vesszük fel a gyanús telefonszámokat, nem klikkelünk gyanús sms-ekre, nem nyitunk meg telefonunkon gyanús e-maileket, üzeneteket. Nem töltjük le a gyanús e-mailek, üzenetek csatolmányait és ha módunkban áll korlátozzuk az kommunikációra használt alkalmazásainkat abban, hogy automatikusan nyissanak meg, videó, kép és hang üzeneteket, vagy automatikusan töltsenek le csatolmányokat.
Ódzkodjunk androidos eszközeinknél a „rootingtól” iOS eszközeinknél pedig a „jailbreaking”-től. Ezen két eljárás során a felhasználó ugyanis teljes rendszerszintű hozzáférést szerez a készülék operációs rendszeréhez. Így viszont, ha feltörik eszközét a támadók is hasonló hozzáférést kapnak, tehát egy feltételezett feltörés esetén ez a változás indikálhatja, hogy az eszközbe kívülről „belepiszkáltak”. Ha mindent gyári beállításba hagyunk az legbiztonságosabb. Erre a linkre kattintva egy leírásban pár lépésből ellenőrizni tudjuk eszközünk rootin állapotát. Érdemes még oda figyelni arra is, hogy ne használjunk nyilvános wifi hálózatot, ne használjuk ismeretlenek telefon töltő kábellét, vagy usb eszközét telefonunk töltésére.
Tekintve, hogy a behatolók az adatainkra kíváncsiak a szokásainkban történő változtatással is akadályozhatjuk, hogy ezekhez az adatokhoz hozzáférjenek. A legegyszerűbb ha az érzékenyebb tartalmú levelezésünket nem kötjük telefonunkhoz. Részleges megoldást jelenthet a buta telefon alkalmankénti használata is kimenő hívásokra gyakori sim-kártya cserével. Ugyanakkor tévhit, hogy a buta telefon nem lehallgatható, viszont kevés adatot tárol és az operációs rendszere a Pegasus számára nem „elérhető” mert ez a kémszoftver specifikusan okos eszközökre lett tervezve.
Feltörték-e a telefonom?
A Pegasus gyakorlatilag olyan mint egy vírus. A „hagyományos” vírusokkal ellentétben viszont közvetlen irányítást igényel, ugyanis a szoftver eszközünkre kerülve önmagától csak települni képes vagy önmagát törölni amennyiben 60 napnál tovább képtelen kapcsolatot teremteni a központi szerverével.
A szoftver jelenlétét indikálhatja:
- Megnőtt adatforgalom
- Csökkenő akkumulátor töltöttség
- Ismeretlen szoftver megjelenése
- A feljebb említett Root üzemmód hirtelen aktívvá válása
- Ingadozó adatmennyiség a tárhelyen
- A telefon gyakori és indokolatlan túlhevülése
- A teljesítmény gyakori és indokolatlan kihasználtságnak növekedés
- A telefon indokolatlan újraindulás
Fontos kihangsúlyozni, hogy a Pegasut nem tömeges hanem célzott megfigyelésre fejlesztették ki. Működéséhez valamilyen szintű külső irányítás szükséges, ahogy a kinyerhető adatok letöltéséhez is.
A négy legegyszerűbb tipp ha attól tartunk eszközünk fülel és figyel minket
Üzleti vagy magán beszélgetés esetén tegyük készülékünk faraday kalitkás telefontartót tokba így izoláljuk mindenféle hálózatról. Fontos tudni, ilyenkor a bejövő hívásoktól is elzárjuk eszközünket.
Aktiváljuk Androidos eszközünkön a fejlesztői módot (Developer mode) és kapcsoljuk be a Sensors OFF módot. Ez egy új lehetőséget aktivál és egy gombbal tudjuk deaktiválni a telefonunk szinte összes szenzorát: mikrofont, kamerát, gps, mozgás szenzor. Fontos: bejövő kimenő hívás esetén kapcsoljuk ki a blokkolás különben nem hallanak minket és mi sem halljuk a másik felet.
Használjunk „vak dugót”: ilyen rendelhető Amazon-on is, vagy vegyünk egy használaton kívüli telefon fülhallgatót, olyat amin mikrofon is van, és vágjuk le a jack dugóját. Ha ezt a telefonba helyezzük a mikrofont blokkolni tudjuk vele.
Használjunk olyan telefon tokot amivel eltudjuk takarni a hátoldali kamerákat is. A vakdugó és vagy a szenzorok kikapcsolásával kombinálva, telefonunk süket és vak lesz.