Etický hacker Pavol Lupták se dlouhodobě zabývá digitální bezpečností, ochranou soukromých dat i forenzní analýzou mobilních telefonů. V rozhovoru pro investigace.cz vysvětlil, jak sledovací software Pegasus fungoval a v čem byl nebezpečný. Lupták je přesvědčený, že od firem, které zneužívají svoje know-how na porušování lidských práv, je potřeba se co nejvíce distancovat.
Izraelská firma NSO vyvinula software, který dokáže plně ovládnout telefon bez toho, že by si toho majitel všimnul. Jak je to možné, že není potřeba žádná interakce?
Podle dostupných informací je vyžadována minimální interakce – oběť spywaru Pegasus musí otevřít infekční adresu URL, kterou obdrží buď e-mailem, nebo prostřednictvím některého messengeru. Speciálně vytvořený odkaz URL obsahuje „exploit“, který zneužívá zranitelnost (CVE-2016-4657) ve WebKitu (což je knihovna používaná mnoha prohlížeči, například Safari). Tímto způsobem útočník automaticky získá profil uživatele, pod nímž prohlížeč na mobilním zařízení běží. Poté zneužije další zranitelnosti jádra (CVE-2016-4655, CVE-2016-4655) k eskalaci maximálních oprávnění – provede takzvaný „útěk z vězení“. Od tohoto okamžiku má útočník nad mobilním zařízením plnou kontrolu a může s ním dělat prakticky cokoli (odposlouchávat, sledovat nebo i upravovat jakoukoli komunikaci). Novější verze spywaru Pegasus však umožňuje kompromitovat mobilní zařízení bez jakékoliv interakce ze strany potenciální oběti (tzv. “zero-click” exploit). Využívá například kritické zranitelnosti v populárních komunikačních aplikacích (iMessage, WhatsApp). Stačí, když útočník zašle oběti speciálně upravenou iMessage zprávu (s exploitem), nebo zavolá speciálním WhatsApp hovorem na číslo oběti (která ale nemusí telefon zvednout). Pokud oběť používá starou verzi iMessage nebo WhatsApp, tak Pegasus spyware dokáže tyto aplikace kompromitovat a následně oprávnění eskalovat (a provést zmíněný “útěk z vězení“).
Jak ten software funguje?
Pegasus využívá veřejně dostupné (viz výše), nebo naopak dosud nezveřejněné (0-day) exploity (nástroje pro zneužití zranitelností) v mobilních zařízeních. Zneužitím těchto zranitelností získá úplnou kontrolu nad samotnými zařízeními. Klienti NSO pak zřejmě dále využívají speciální webovou konzoli, která jim umožňuje plnou kontrolu nad takto kompromitovanými zařízeními.
NSO prodává Pegasus jako službu, nikoli jako software. Proč?
Pegasus jako služba má oproti prodeji Pegasu jako softwaru několik výhod. Hlavním důvodem je, že jako služba je celá věc lépe spravovatelná – zákazník NSO používá vždy nejnovější verzi, která by měla být nejfunkčnější a nejspolehlivější (obsahuje nejnovější exploity). Také se to lépe účtuje – protože NSO přesně ví, na kolika cílových zařízeních byl spyware použit (pokud by software používal přímo zákazník, NSO nemusí přesně vědět, kolikrát to bylo použito). A lepší účetnictví znamená lepší výběr peněz. Problém s Pegasem jako službou vidím v tom, že NSO přímo vidí, proti komu byl spyware nasazen. Takže podle mého názoru jsou automaticky přímo zodpovědní, když je spyware zneužíván (například proti investigativním novinářům, politickým aktivistům a podobně).
Znamená to, že pak akorát předají klientovi balíček informací z vyhackovaného mobilu?
Předpokládám, že se to dělá prostřednictvím speciální webové konzole NSO, která umožňuje plný přístup ke všem infikovaným mobilním zařízením. Zákazníci NSO nemusí mít žádné technické znalosti. Stačí, když si otevřou příslušnou webovou konzoli NSO a sami si vyberou přesné operace, které chtějí na ohrožených zařízeních provádět – například nahrávat hovory a zprávy, upravovat jejich obsah, odesílat vlastní upravené zprávy, zobrazit celý displej (jako videostream), stáhnout kalendář nebo adresář kontaktů. Je důležité poznamenat, že útočník má nad telefonem plnou kontrolu, takže z něj může zachytit kompletní komunikaci včetně té šifrované (jako Signal, Threema a podobně).
Software je klasifikovaný jako zbraň, co to znamená?
Předpokládám, že klasifikace spywaru jako zbraně vychází z výrazné mocenské asymetrie mezi potenciálním útočníkem a jeho obětí. Oběť nemá prakticky žádnou možnost obrany (i když do značné míry pomáhá používat telefon s nejnovějšími aktualizacemi – operačního systému i balíčků). Útočník přitom naprosto naruší soukromí oběti (získá plný přístup k celému zařízení).
Dá se takovému útoku zabránit? Jestli ano, tak jak?
Zabránit takovému útoku je nemožné, zejména pokud využívá neveřejné 0-day exploity, pro které dosud neexistují bezpečnostní záplaty (a společnosti jako Apple, Google nebo Microsoft o nich tedy nevědí). Přestože za ně tyto společnosti nabízejí „tučné odměny“ ve svých „bug bounty“ programech, společnosti jako NSO, VUPEN, Hacking Team či Gamma Group za podobné zranitelnosti, které jsou základem jejich „šedého byznysu“, platí mnohem více. Pravděpodobnost takového útoku lze výrazně snížit, pokud používáte nejnovější verze operačního systému (iOS, Android), nejnovější verze všech balíčků a zároveň neklikáte na neznámé odkazy od neznámých příjemců (což může být obtížné, protože e-maily lze snadno „spoofovat“, tedy podvrhnout). Doporučuji také používat speciální distribuce systému Android s ohledem na soukromí, jako je GrapheneOS, CalyxOS nebo LineageOS, které jsou 100% open source a pravidelně vydávají bezpečnostní aktualizace. Případně použijte nestandardní telefony (například Purism Librem Phone) s hardwarovým vypínačem (možnost kdykoli fyzicky odpojit mikrofon) běžící v systému Linux, pro který neexistují žádné funkční 0-day exploity, a proto si s nimi Pegasus neporadí.
Dá se odhadnout, kolik jeden takový útok může stát?
Odhaduji, že se jedná o tisíce až desetitisíce dolarů v případě automatizovaných útoků nebo až statisíce dolarů, pokud útok vyžaduje vytvoření vlastních exploitů, což je velmi pracný a náročný proces (například pokud byste chtěli najít a zneužít zranitelnost 0-day v telefonu Librem Phone, který Pegasus v současné době nepodporuje).
Jak vůbec funguje takové špehování přes mobil? O jaká data z mobilu bývá zájem?
Většina takových spywarových služeb má pro své klienty speciální webovou konzoli (webovou aplikaci), jejímž prostřednictvím mají plný přístup k napadeným telefonům. Mohou nahrávat jakékoli hovory nebo zprávy, odesílat vlastní, nahrávat jakékoli video nebo zvuk z telefonu, mít přístup k displeji telefonu, adresáři kontaktů, kalendáři a tak dále. Zkrátka plný přístup. Předpokládám, že v případě kompromitace investigativních novinářů je hlavní zájem o jejich adresář kontaktů, lokaci, kalendář a všechny hovory a zprávy.
Jak se dá zjistit, jestli můj telefon není infikovaný? Jak se to technicky řeší?
V případě dobře napsaného spywaru je odhalení jeho přítomnosti prakticky nemožné. V případě špatně napsaného spywaru může dojít ke zpomalení systému, snížení výdrže baterie nebo pádu aplikací. V případě jakéhokoli podezření na spyware/malware doporučuji telefon kompletně hardwarově resetovat a přeflashovat na distribuci Androidu s ohledem na soukromí (například GrapheneOS/CalyxOS) nebo začít používat jiný telefon.
Pavol Lupták je etický hacker. Vystudoval na FEI-STU v Bratislavě a FEL-ČVUT v Praze, obor informatika, s diplomovou prací zaměřenou na ultrabezpečné systémy. Má 14leté zkušenosti v oblasti IT bezpečnosti a tvorby nejrůznějších bezpečnostních auditů včetně sociálního inženýrství či forenzní analýzy. Ukázal přístup, jak hacknout čipové karty nebo SMS jízdenky kdekoli v Evropě. Je jedním ze zakládajících členů pražské Paralelní Polis a stál také u zrodu iniciativy „Nepracujeme pro stát“. Je členem umělecké skupiny Ztohoven. Stal se globálním občanem – vzdal se slovenského občanství a místo bankovních účtů používá kryptoměny.
Autorka úvodní fotografie: Archiv Pavla Luptáka
Poznámka redakce: Dne 20. července 2021 byla doplněna odpověď na první otázku dodatkem zaslaným Pavolem Luptákem k novější verzi spywaru Pegasus.
Tento text vznikl díky finanční podpoře čtenářů, jako jste vy. Přidejte se do Klubu neprůstřelných a podpořte naši práci.