A jó hír, hogy a Pegasussal nemigen fognak tömegeket kikémlelni. A feltehetőleg a magyar kormány által is megvásárolt izraeli kémszoftver a legkifinomultabb és a legdrágább, legalábbis azok közül, amelyeket magáncég árusít. Lehallgatott személyenként több ezer eurót kér érte a programot fejlesztő izraeli NSO. A rossz hír, hogy a szoftver mindent tud, ráadásul olyan jól álcázza magát, hogy aki nem fordul a kevés hozzáértő biztonsági laboratórium valamelyikéhez, az sohasem fog rájönni, mi történt a telefonjával.

A régóta létező, már 2019-ben is kormányzati megfigyelésre használt Pegasus mindentudásába az is beleértendő, hogy több jogosultsága van, mint a telefon tulajdonosának. Rootolja a telefont, vagyis olyan mélyen behatol az operációs rendszerbe, ahogyan androidos készülékeknél csak hozzáértők kockáztatják meg, iPhone-ok esetében pedig még ők sem tehetik meg. És a képességei arra is kiterjednek, hogy még a titkosított üzenetváltásokat is el tudja olvasni.

A kémszoftver segítségével távolból bekapcsolható a telefonon akár a mikrofon, akár a kamera.

A vásárló – egy titkosszolgálat vagy egy rendőrség – a gyártótól kapott irányítóközpontból indítja a támadásokat, a célszemély telefonszámának megadásával. Ezért is lett világbotrány abból, hogy az eredeti céltól – terrortámadások, bűncselekmények megelőzése – eltérően, a kémprogram nyomaira bukkantak emberjogi aktivisták, ügyvédek, újságírók mobiljain.

Pixabay / Couleur

A gyakori jótanács, hogy mindenki rendszeresen frissítse a mobilja szoftverét, ezúttal nem segít. A sokszáz munkatársat foglalkoztató izraeli NSO folyamatosan kihasználja a mindenkori biztonsági réseket, még az egyébként védettebbnek mondható iPhone-oknál is. Szakértők különösen kockázatosnak tartják az iMessage üzenetküldő szolgáltatást és a FaceTime videotelefonálót, de a behatoláshoz olyan, ártatlannak tűnő programok is alkalmasak, mint az Apple Music vagy a fotóalkalmazás.

A nemzetközi újságírócsoport vasárnap este óta közzétett leleplezéseihez a technikai részleteket jórészt az Amnesty International emberjogi szervezet berlini biztonsági laboratóriuma szolgáltatta. Ott 2016-ban figyeltek fel az izraeli szoftverre, amikor egy arab emberjogi aktivista, Ahmed Manszur telefonját vizsgálták meg.

Eleinte a Pegasus az örökzöld módszerrel jutott a telefonokra: kellő ügyességgel megírt, személyre szóló üzenetet küldtek, és az abban lévő linkre koppintva töltődött le a kártevő. Azóta sokat fejlődött a módszer. Évek óta a zéró-klikk néven emlegetett trükkök valamelyikét vetik be: a felhasználó egyetlen mozdulata nélkül hatol be a szoftver.

AFP / JACK GUEZ

Az egyik módszer, hogy az iPhone-ok alapértelmezett, SMS-eket is kezelő üzenőalkalmazása, a Messages fogad egy iMessage-üzenetet, de úgy, hogy a felhasználó ne vegye észre. Mivel az iMessage éppen abban több az SMS-nél, hogy segítségével a szövegen túl is sok mindent lehet küldeni, a káros csatolmány akadálytalanul letöltődik. Pár éve az is a fegyvertárhoz tartozott, hogy a mobilszolgáltató – nyilván állami ösztönzésre – pár pillanatra észrevétlenül eltérítette az internetes böngészést.

Ugyanez elérhető a telefontársaság nélkül is, csak akkor a célszemély közelében kell lenni egy olyan, ma már nem különleges kütyüvel (IMSI-catcher), amely bázisállomásnak álcázza magát, és magához ragadja a telefon internetkapcsolatát. Wifi-hálózatok is alkalmasak a kalózkodáshoz. A berlini labor több telefonból is ki tudta mutatni utólag a gyanús áttereléseket és a következő pillanatokban bekövetkező furcsa letöltéseket és programtelepítéseket.

A berlini laboratórium feltárta azt is, hogy az NSO kiterjedt, ugyanakkor ügyesen álcázott hálózatot tart fenn internetoldalakból, így nem ismétlődnek feltűnően azok a helyek, ahonnan a kártevő letöltődik. Olyannyira, hogy most már minden egyes támadáshoz mást használnak. Az újságírók tényfeltáró sorozatával egy időben a berlini laboratórium közzé is tette 700 ilyen domainnév listáját. Kiderült, hogy – még jobban álcázható módon – újabban az Amazon felhőszolgáltatását is használja az NSO. (Ennek hírére az Amazon igyekszik gátat vetni a visszaélésnek, még hétfőn lekapcsolta az izraeli kémszoftver szervereit.)

Berlinben főképp iPhone-okat vizsgáltak, de ennek nincs köze ahhoz, hogy azok, illetve az androidos készülékek mennyire biztonságosak. Pusztán arról van szó, hogy az iPhone-okban több helyen naplózódnak és őrződnek meg a történtek, az androidos telefonokra pedig jellemzőbb, hogy kikapcsoláskor törlődnek ezek az adatok. Az iPhone-okban naplózott események nyomai azt is elárulták, hogy a Pegasus ezek egy részét törölte, míg más helyen mások – a kutatók szerencséjére – összehasonlításra alkalmasan megmaradtak.

AFP / JAAP ARRIENS

Az NSO ezzel is igyekszik lépést tartani: Berlinben azt tapasztalják, hogy újabban a Pegasus a telefon bekapcsolásakor törlődik az iPhone-okról. Ha szükség lenne rá, valamelyik módszerrel újratöltődik. Így még nehezebb a nyomára bukkanni. A macska-egér játék nyíltan folyik. A berlini laboratórium közleményeinek hírére (vagy talán más okokból is) az NSO az utóbbi évek során mára eljutott hálózatának negyedik változatáig.

Az Amnesty International mindezek alapján sürgeti: a telefongyártók tegyék lehetővé, hogy a tulajdonosok vagy szakértők jobban ellenőrizhessék a készülékeket – persze úgy, hogy közben a biztonság is megmaradjon.

A berlini labor most azzal tett szolgálatot a közösségnek, hogy közzétette telefonellenőrző szoftverét – melynek használatához azért bőven átlagon fölüli szaktudás szükséges.

A Pegasus-ügyet feltáró lapok közül többen (a The Washington Post, a Süddeutsche Zeitung) azt is feszegették, hogy az Apple nem tesz meg mindent a biztonsági rések gyors bezárásáért. De lehet, hogy mindegy is. A berlini laboratórium vezetője, Claudio Guarnieri szerint a Pegazus ellen a felhasználóknak nincs esélyük védekezni. Ő maga sem tud más javasolni, mint hogy

bizalmas beszélgetéseknek a közelében se legyen a mobil, de még jobb eleve otthon hagyni a telefont.

Ha értesülni szeretne az ügy fejleményeiről, lájkolja a HVG Tech rovatának Facebook-oldalát.