sas

Pegasus: program szpiegujący dla platformy iOS i Android

Użytkownicy iPhone’ów i iPadów zazwyczaj twierdzą, że są całkowicie bezpieczni. Mówią, że nie ma szkodliwych programów dla platformy iOS. Sama zaś firma Apple niewiele robi, aby zmienić to wrażenie, nie

John Snow
12/04/2017

Użytkownicy iPhone’ów i iPadów zazwyczaj twierdzą, że są całkowicie bezpieczni. Mówią, że nie ma szkodliwych programów dla platformy iOS. Sama zaś firma Apple niewiele robi, aby zmienić to wrażenie, nie wpuszczając do swojego sklepu App Store programów antywirusowych — rzekomo nie są one potrzebne.

Słowem kluczowym jest tutaj rzekomo. Wiele razy wykryto już na wolności szkodliwy program, który atakował użytkowników systemu iOS, a w sierpniu 2016 roku badacze poinformowali o wykryciu Pegasusa, czyli programu szpiegującego, który potrafi zainfekować każdego iPada i iPhone’a, a później gromadzić dane o ofierze i śledzić ją. Po tym odkryciu cały świat cyberbezpieczeństwa zadrżał z wrażenia.

Podczas naszego wydarzenia Security Analyst Summit badacze z firmy Lookout poinformowali o tym, że Pegasus istnieje nie tylko dla systemu iOS, ale także dla Androida. Wersja na Androida nieco różni się od swojej poprzedniczki. Sprawdźmy, co wiemy o tym zagrożeniu.

Pegasus: początek

Pegasus wykryto dzięki Ahmedowi Mansoorowi, aktywiście walczącemu o prawa człowieka w Zjednoczonych Emiratach Arabskich, który był jedną z pierwszych ofiar. Atak wykorzystywał phishing ukierunkowany: mężczyzna ten otrzymał kilka wiadomości SMS, które zawierały wg niego szkodliwe odnośniki, dlatego wysłał te wiadomości do ekspertów z Citizen Lab, którzy z kolei zwrócili się o pomoc do kolejnej firmy, Lookout.

Mansoor miał rację. Gdyby kliknął otrzymane łącza, jego iPhone mógłby zostać zainfekowany szkodliwym programem dla platformy iOS. A dokładniej rzecz ujmując: szkodliwym programem przeznaczonym dla systemu, wa którym nie przeprowadzono jailbreaku. Program został nazwany Pegasus, a badacze z firmy Lookout określili to wydarzenie jako najbardziej wyszukany atak na użytkowników, jaki kiedykolwiek widzieli.

Za twórców Pegasusa uznano NSO Group, firmę z Izraela, której chlebem powszednim jest tworzenie programów szpiegujących. Oznacza to, że program jest komercyjny — jest sprzedawany każdemu, kto zechce za niego zapłacić. Pegasus wykorzystywał trzy nieznane wcześniej luki dnia zerowego w systemie iOS, które umożliwiły potajemne zdjęcie zabezpieczeń z urządzenia i zainstalowanie programu do śledzenia aktywności. Inna firma zajmująca się cyberbezpieczeństwem, Zerodium, zaoferowała 1 milion dolarów za lukę dnia zerowego dla platformy iOS — można zatem przypuszczać, że utworzenie Pegasusa kosztowało niemało.

Mówiąc o szpiegowaniu, mamy na myśli inwigilację totalną. Pegasus to szkodliwy program o strukturze modułowej. Po przeskanowaniu wybranego urządzenia instaluje wymagane moduły pozwalające na odczytywanie wiadomości i poczty użytkowników, podsłuchiwanie połączeń, przechwytywanie zrzutów ekranu, rejestrowanie naciśnięć klawiszy, umożliwiające dostęp do historii przeglądarki, kontaktów itp. Biorąc to pod uwagę, program ten jest w stanie szpiegować każdy aspekt czyjegoś życia.

Warto także wspomnieć, że Pegasus może nawet podsłuchiwać szyfrowaną transmisję dźwięku oraz odczytywać zaszyfrowane wiadomości — dzięki możliwości rejestrowania naciśnięć klawiszy i nagrywaniu dźwięku kradł wiadomości przed ich zaszyfrowaniem (a dla wiadomości przychodzących po odszyfrowaniu).

Kolejnym interesującym faktem w sprawie Pegasusa jest to, że usilnie próbuje on ukryć swoją obecność. Szkodliwy program dokonuje autodestrukcji, jeśli nie uda mu się skontaktować z serwerem poleceń (C&C) przez ponad 60 dni lub jeśli wykryje, że został zainstalowany na niewłaściwym urządzeniu z niewłaściwą kartą SIM (był to atak ukierunkowany; klienci grupy NSO nie byli przypadkowi).

Rodzina skrzydlatego konia

Autorzy Pegasusa prawdopodobnie myśleli, że zbyt wiele zainwestowali w swój projekt, aby był on ograniczony tylko do jednej platformy. Wkrótce po wykryciu jego pierwszej wersji dostrzeżono drugą, a podczas konferencji Security Analyst Summit 2017 badacze z firmy Lookout poinformowali o Pegasusie dla Androida, znanym także pod nazwą Chrysaor — tak nazwała ją firma Google. Wersja dla systemu Android jest stosunkowo podobna do swojej siostry dla iOS-a, jeśli chodzi o możliwości, różnią je jednak techniki przedostawania się urządzenia.

Pegasus dla Androida nie wykorzystywał luk dnia zerowego, zamiast tego używał dobrze znanej metody uzyskiwania uprawnień administratora, zwanej Framaroot. Inna różnica polegała na tym, że gdy wersja dla platformy iOS nie mogła zdjąć zabezpieczeń na urządzeniu, cały atak był uznawany za nieskuteczny. Tymczasem w przypadku wersji dla Androida nawet gdy szkodliwy program nie uzyskał wymaganego dostępu na poziomie administratora w celu zainstalowania programu do inwigilacji, bezpośrednio prosił użytkownika o nadanie uprawnień, których potrzebuje do wydobycia przynajmniej niektórych danych.

Według firmy Google zainfekowanych zostało zaledwie kilkadziesiąt urządzeń z systemem Android, lecz w przypadku ukierunkowanego ataku cyberszpiegowskiego nie jest to wcale mało. Największą liczbę instalacji Pegasusa dla Androida zanotowano w Izraelu, na drugim miejscu znalazła się Gruzja, a na trzecim Meksyk. Pegasus dla Androida wykryto także w Turcji, Kenii, Nigerii, Zjednoczonych Emiratach Arabskich i innych krajach.

Prawdopodobnie nic Ci nie grozi, ale…

Po opublikowaniu informacji o nowej wersji Pegasusa dla systemu iOS firma Apple szybko zareagowała, udostępniając łatę bezpieczeństwa (9.3.5) eliminującą wszystkie trzy wspomniane luki.

Z kolei firma Google, która pomagała w analizowaniu tego przypadku dla wersji Android, wydała swoją łatę i bezpośrednio skontaktowała się z potencjalnymi ofiarami programu Pegasus. Jeśli Twoje gadżety z systemem iOS są zaktualizowane do najnowszej wersji i nie otrzymałeś wiadomości z ostrzeżeniem od Google’a, prawdopodobnie nie masz się czym martwić i sprawa Pegasusa Cię nie dotyczy.

Jednak nie oznacza to, że nie istnieje inny nieznany jeszcze program szpiegujący dla obu platform — iOS i Android. A samo istnienie Pegasusa udowadnia, że szkodliwe programy dla iOS-a znacznie wykraczają poza fatalnie napisane programy adware czy strony żądające okupu, które całkiem łatwo jest zablokować. Na wolności istnieje wiele poważnych zagrożeń. Oto trzy proste kroki, dzięki którym nie nabawisz się kłopotów:

Aktualizuj swoje urządzenia na bieżąco; nie opóźniaj tego procesu, a zwłaszcza jeśli chodzi o łaty bezpieczeństwa.
Na każdym urządzeniu zainstaluj porządny program zabezpieczający. Nie ma takiego dla urządzeń z systemem iOS, ale mamy nadzieję, że dzięki Pegasusowi firma Apple przemyśli swoją strategię.
Nie daj się nabrać na phishing, uważaj na ataki ukierunkowane — bądź ostrożny jak Ahmed Mansoor. Jeśli dostaniesz link z nieznanego Ci źródła, nie klikaj go automatycznie. A najlepiej nie klikaj go wcale.

Jak ochronić swoje dzieci przed niechcianą treścią na iPadach i iPhone’ach

Znaczna części rodziców martwi się, że ich dzieci zetkną się z niewłaściwą dla nich treścią, na przykład podczas grania lub korzystania z internetu na iPhonie czy iPadzie. Na taką okoliczność

Darmowe narzędzia

Ochrona ukierunkowana

Branże

Pegasus: program szpiegujący dla platformy iOS i Android

Aplikacja Tinder: niesamowity świat botów

Jeszcze lepszy program bug bounty

Jak ochronić swoje dzieci przed niechcianą treścią na iPadach i iPhone’ach

Porady

Pięć wskazówek dotyczących ochrony przed oprogramowaniem ransomware

Przewodnik po bezpieczeństwie informacji dla nowych pracowników

Czy aplikacje mogą eliminować hałas?

Ataki ransomware na sektor opieki zdrowotnej

Zapisz się, aby otrzymywać informacje o nowych artykułach

Produkty dla domu

Produkty dla małych firm

Produkty dla średnich firm

Produkty dla korporacji

Securelist

Eugene Personal Blog