05/10/2021
В июле 2021 года широко в мировых СМИ освещался скандал, связанный с хакерским программным обеспечением под кодовым названием Pegasus, которое было разработано израильской компанией NSO Group. Статья в TheGuardian – What is Pegasus spyware and how does it hack phones? показала как этот шпионский софт был использован и его реальные возможности. Кроме этой статьи было множество других во всем мире, которые очень остро затрагивали данную тематику. Основная суть поднятого вопроса – данное хакерское программное обеспечение позволяет взламывать любые телефоны под управлением iOS и Android с помощью множества zero day эксплойтов. При этом зачастую это может происходить без какого-либо участия пользователей данных телефонов. После того, как аппарат будет взломан, люди, стоящие за Pegasus, получают доступ по сути ко всей информации, которая может на нем хранится. Для меня во всей этой истории центральной идеей пролегла мысль о приватности, вернее об ее отсутствии при наличии современных телефонов на базе iOS и Android. Для любого человека, кто ценит конфиденциальность своей частной жизни, его собственный мобильный телефон становится наиболее опасным девайсом, способным легко разрушить ее.
Буквально недавно в сентября этого года специалистами citizenlab.ca был обнаружен и проанализирован реальный zero-day эксплойт, который используется Pegasus для взлома iphone через iMessage. Это показано в статье на их сайте – NSO Group iMessage Zero-Click Exploit Captured in the Wild. Что крайне интересно, он позволяет использовать уязвимость в библиотеках, используемых iMessage на устройствах iOS & MacOS. Этот эксплойт в частности используется Pegasus для проникновения на мобильные устройства. Вроде бы думается, что можно отключить iMessage на своем устройстве и ты окажешься в безопасности. Но судя по всему, даже на данный момент уже есть несколько других zero day эксплойтов, способных достичь того же результата, но с помощью других программ и библиотек. И скорее всего их не будет становится меньше в будущем.
Приватность обычных людей
Прежде всего давайте попробуем осознать, к какой информации дает доступ обычный мобильный телефон сегодня в нашем мире. Первое, что очень важно для многих людей – доступ к финансовым приложениям, к которым привязаны банковские счета, кредитные и дебетовые карты. Зачастую это не просто приложения, а системы по оплате, такие как Apple Pay или Samsung Pay. По заверениям разработчиков их системы хорошо защищены, но в случае получения внешнего доступа к мобильному телефону, где они установлены, все имеющаяся безопасность в корне становится бесполезной.
Кроме этого, большинство современных смартфонов используется как фото и видеокамеры. Отснятый материал, как правило, очень многое может рассказать о Вашей жизни и Ваших секретах. С кем Вы общаетесь, где Вы бываете, кого Вы знаете, как Вы живете и другое. Конечно же, многие в современном мире выкладывают большое количество фотографий и видео из своей жизни в различных социальных сетях, совершенно не заботясь о приватности. При таком раскладе думать о конфиденциальности данных на мобильных устройствах, наверное, нет особого смысла. Те же, кто считает, что их частная жизнь – это закрытая часть для всего остального мира, возможно, примут во внимание всю специфику использования мобильных телефонов.
Также важными источниками информации о владельце сотового телефона могут служить различные записки, которые ведутся на нем, программы учета доходов и расходов, системы трекинга физической активности, различные приложения по бронированию билетов, гостиниц, мест проживания. Кроме этого многие крупные, а зачастую и средние организации имеют свои специфичные приложения на мобильных платформах, которые могут быть интересны посторонним лицам.
Отдельно стоит сказать о самих коммуникациях. Все таки, мобильный телефон в первую очередь предназначался для звонков и голосовых переговоров. Кроме обычных телефонных разговоров большая часть людей использует системы мгновенных сообщений, таких как Telegram, Skype, WhatsApp и т.д. Через эти системы ежедневно передается множество различных файлов, ведется различная деловая и личная переписка, проводятся аудио и видео звонки. Именно доступ к данным в этих системах зачастую представляет особой интерес для сторонних организаций и лиц.
Самыми интересными особенностями мобильного телефона, которые деляют его идеальным шпионским устройством за его владельцем, с моей точки зрения, являются видеокамеры с обоих сторон аппарата, микрофон и GPS датчик. Вкупе с постоянным доступом к Интернету с мобильного устройства и возможностью принимать и отправлять данные с него, мы получаем образцовый девайс для слежения за владельцем. С учетом того, что средний пользователь смартфона даже не сможет заметить взлом своего аппарата, становится совершенно понятным, почему определенные люди и организации всячески стараются заполучить в свое распоряжение такие инструменты как Pegasus. Если на лептопе можно заклеить микрофон, камеру, а GPS датчикhttps://www.andreyus.com/privatnost-i-pegasus/а на нем, как правило, нет, то с телефоном ситуация немного другая. Как минимум, микрофон полностью заблокировать на смартфоне не получится в силу его непосредственной необходимости в телефонных разговорах. GPS датчик программно вроде бы можно отключить в настройках телефона, но сможет ли хозяин трояна при этом обходить данную настройку до конца непонятно. С камерами на смартфонах все проще – достаточно заклеить их изолентой и вопрос решается. Обобщив, можно сказать, что полностью защититься от слежки за собой при пользовании смартфоном невозможно.
Статья в TheGuardian о Pegasus поднимает проблематику использования шпионского софта спецслужбами различных стран. Однако, с точки зрения сохранения приватности личной информации при эксплуатации смартфонов, я бы еще упомянул также в качестве возможных операторов подобного ПО различные продвинутые хакерские группировки, а также сами компании разработчики смартфонов, такие как Apple или Google. Если с хакерами все понятно, все видели фильмы и сериалы, которые рассказывают об их деятельности, то зачастую компании Apple и Google не принимают в расчет. Но если какие-то сторонние хакеры могут создать нужные эксплойты для удаленного доступа к мобильным телефонам, я на 100 процентов уверен, что и сами компании производители такой техники могут это сделать гораздо эффективнее и элегантнее.
В контексте данной статьи бегло постарался показать проблематику с приватностью частной жизни среднего человека в современном мире с мобильными телефонами. Также хотелось бы добавить пару строк про то отупляющее влияние на психику и интеллектуальные способности человека различных приложений смартфона. Все это вместе заставляет лично меня с большой осторожностью относиться к использованию сотовых телефонов.
Резюме
Когда Вы покупаете мобильный телефон, Вы думаете, что он Ваш. Но как показывает практика, это может быть далеко не так. Большинство аналитиков говорит, что если Вы не занимаетесь политической деятельностью, не обладаете серьезным состоянием, то наврятли Ваш мобильный телефон будет взломан с помощью подобных технологий. Но для меня данная аргументация является слабой, так как получается, что Ваша приватность и Ваши данные, хранимые на телефоне, отделены в целом от злоумышленников только желанием и возможностью тех, у кого есть нужные инструменты.