Een groot journalistiek onderzoek heeft aanwijzingen gevonden voor het gebruik van kwaadaardige software door regeringen over de hele wereld, waaronder beschuldigingen van spionage van prominente personen.

Uit een lijst met meer dan 50.000 telefoonnummers identificeerden journalisten meer dan 1.000 mensen in 50 landen die naar verluidt onder toezicht stonden met behulp van de Pegasus-spyware. De software is ontwikkeld door het Israëlische bedrijf NSO Group en verkocht aan overheidsklanten.

Onder de gerapporteerde doelen van de spyware zijn journalisten, politici, regeringsfunctionarissen, chief executives en mensenrechtenactivisten.

Rapporten tot nu toe verwijzen naar een bewakingsinspanning die doet denken aan een Orwelliaanse nachtmerrie, waarin de spyware toetsaanslagen kan vastleggen, communicatie kan onderscheppen, het apparaat kan volgen en de camera en microfoon kan gebruiken om de gebruiker te bespioneren.

Hoe hebben ze het gedaan?

Er is niets bijzonders aan hoe de Pegasus-spyware de telefoons van slachtoffers infecteert. De eerste hack omvat een bewerkte sms of iMessage die een link naar een website biedt. Als erop wordt geklikt, levert deze link schadelijke software die het apparaat compromitteert.

Het doel is om de volledige controle over het besturingssysteem van het mobiele apparaat te krijgen, hetzij door te rooten (op Android-apparaten) of te jailbreaken (op Apple iOS-apparaten).

Gewoonlijk wordt rooten op een Android-apparaat gedaan door de gebruiker om applicaties en games uit niet-ondersteunde app stores te installeren, of om een ​​functionaliteit opnieuw in te schakelen die door de fabrikant was uitgeschakeld.

Evenzo kan een jailbreak op Apple-apparaten worden geïmplementeerd om de installatie van apps mogelijk te maken die niet beschikbaar zijn in de Apple App Store, of om de telefoon te ontgrendelen voor gebruik op alternatieve mobiele netwerken. Bij veel jailbreak-benaderingen moet de telefoon elke keer dat deze wordt ingeschakeld op een computer worden aangesloten (dit wordt een "tethered jailbreak" genoemd).

Rooten en jailbreaken verwijderen beide de beveiligingscontroles die zijn ingebed in Android- of iOS-besturingssystemen. Ze zijn meestal een combinatie van configuratiewijzigingen en een "hack" van kernelementen van het besturingssysteem om aangepaste code uit te voeren.

In het geval van spyware kan de dader, zodra een apparaat is ontgrendeld, verdere software inzetten om externe toegang tot de gegevens en functies van het apparaat te beveiligen. Deze gebruiker is waarschijnlijk helemaal niet op de hoogte.

De meeste mediaberichten over Pegasus hebben betrekking op het compromitteren van Apple-apparaten. De spyware infecteert ook Android-apparaten, maar is niet zo effectief als het vertrouwt op een roottechniek die niet 100% betrouwbaar is. Wanneer de eerste infectiepoging mislukt, vraagt ​​de spyware de gebruiker vermoedelijk om relevante machtigingen te verlenen, zodat deze effectief kan worden ingezet.

Hoe Pegasus Spyware werkt- pic.twitter.com/GbE4RBUTvJ

— Rohan (@rohanreplies) 19 juli 2021

Maar zijn Apple-apparaten niet veiliger?

Apple-apparaten worden over het algemeen als veiliger beschouwd dan hun Android-equivalenten, maar geen van beide typen apparaten is 100% veilig.

Apple past een hoog niveau van controle toe op de code van zijn besturingssysteem, evenals op apps die worden aangeboden via zijn app store. Hierdoor ontstaat een gesloten systeem dat vaak wordt aangeduid als "security by obscurity". Apple oefent ook volledige controle uit over wanneer updates worden uitgerold, die vervolgens snel door gebruikers worden overgenomen.

Apple-apparaten worden regelmatig bijgewerkt naar de nieuwste iOS-versie via automatische patchinstallatie. Dit helpt de beveiliging te verbeteren en verhoogt ook de waarde van het vinden van een werkbaar compromis met de nieuwste iOS-versie, aangezien de nieuwe versie op een groot deel van de apparaten wereldwijd zal worden gebruikt.

Aan de andere kant zijn Android-apparaten gebaseerd op open-sourceconcepten, zodat hardwarefabrikanten het besturingssysteem kunnen aanpassen om extra functies toe te voegen of de prestaties te optimaliseren. We zien meestal een groot aantal Android-apparaten met verschillende versies, wat onvermijdelijk resulteert in een aantal niet-gepatchte en onveilige apparaten (wat voordelig is voor cybercriminelen).

Uiteindelijk zijn beide platforms kwetsbaar voor compromissen. De belangrijkste factoren zijn gemak en motivatie. Hoewel het ontwikkelen van een iOS-malwaretool een grotere investering in tijd, moeite en geld vereist, betekent het hebben van veel apparaten in een identieke omgeving dat er een grotere kans op succes is op een aanzienlijke schaal.

Hoewel veel Android-apparaten waarschijnlijk kwetsbaar zullen zijn voor compromissen, maakt de diversiteit aan hardware en software het moeilijker om een ​​enkel kwaadaardig hulpmiddel voor een brede gebruikersbasis te implementeren.

Hoe weet ik of ik in de gaten word gehouden?

Hoewel het lekken van meer dan 50.000 naar verluidt gecontroleerde telefoonnummers veel lijkt, is het onwaarschijnlijk dat de Pegasus-spyware is gebruikt om iemand in de gaten te houden die niet publiekelijk prominent of politiek actief is.

Het ligt in de aard van spyware om verborgen en onopgemerkt op een apparaat te blijven. Dat gezegd hebbende, zijn er mechanismen om te laten zien of je apparaat is gehackt.

De (relatief) gemakkelijke manier om dit te bepalen is door gebruik te maken van de Amnesty International Mobile Verification Toolkit (MVT). Deze tool kan zowel onder Linux als onder MacOS draaien en kan de bestanden en configuratie van uw mobiele apparaat onderzoeken door een back-up van de telefoon te analyseren.

Hoewel de analyse niet bevestigt of weerlegt of een apparaat is gecompromitteerd, detecteert het wel 'indicatoren van compromis' die aanwijzingen voor infectie kunnen opleveren.

Het is echt een geweldig project, gebouwd door dezelfde Amnesty-onderzoekers die Pegasus-infecties op de telefoons van slachtoffers bevestigden. Met MVT kan iedereen een back-up van zijn telefoon maken en scannen op indicatoren van compromissen die verband houden met Pegasus. https://t.co/IQ1YDDBCcQ pic.twitter.com/dhoImNvw4P

— Zack Whittaker (@zackwhittaker) 19 juli 2021

De tool kan met name de aanwezigheid detecteren van specifieke software (processen) die op het apparaat worden uitgevoerd, evenals een reeks domeinen die worden gebruikt als onderdeel van de wereldwijde infrastructuur die een spywarenetwerk ondersteunt.

Wat kan ik doen om beter te worden beschermd?

Hoewel het onwaarschijnlijk is dat de meeste mensen het doelwit zijn van dit type aanval, zijn er nog steeds eenvoudige stappen die u kunt nemen om uw potentiële blootstelling tot een minimum te beperken, niet alleen voor Pegasus, maar ook voor andere kwaadaardige aanvallen.

1. Open alleen links van bekende en vertrouwde contacten en bronnen wanneer je je apparaat gebruikt. Pegasus wordt geïmplementeerd op Apple-apparaten via een iMessage-link. En dit is dezelfde techniek die door veel cybercriminelen wordt gebruikt voor zowel malwaredistributie als minder technische oplichting. Hetzelfde advies is van toepassing op links die via e-mail of andere berichtentoepassingen worden verzonden.
2. Zorg ervoor dat uw apparaat is bijgewerkt met relevante patches en upgrades. Hoewel een gestandaardiseerde versie van een besturingssysteem een ​​stabiele basis vormt waarop aanvallers zich kunnen richten, is het nog steeds uw beste verdediging.
3. Als je Android gebruikt, vertrouw dan niet op meldingen voor nieuwe versies van het besturingssysteem. Controleer zelf voor de nieuwste versie, aangezien de fabrikant van uw apparaat mogelijk geen updates levert.
4. Hoewel het misschien voor de hand liggend klinkt, moet je fysieke toegang tot je telefoon beperken. Doe dit door pin-, vinger- of gezichtsvergrendeling op het apparaat in te schakelen. De website van de eSafety Commissioner heeft een reeks video's waarin wordt uitgelegd hoe u uw apparaat veilig kunt configureren.
5. Vermijd openbare en gratis wifi-diensten (inclusief hotels), vooral bij toegang tot gevoelige informatie. Het gebruik van een VPN is een goede oplossing wanneer u dergelijke netwerken moet gebruiken.
6. Versleutel uw apparaatgegevens en schakel functies voor wissen op afstand in waar beschikbaar. Als uw apparaat zoekraakt of wordt gestolen, kunt u er zeker van zijn dat uw gegevens veilig blijven.