Pegasus-skandalen: Allt du behöver veta

Dagens inlägg är det tråkigaste jag någonsin skrivit, och förhoppningsvis är det det sista i sitt slag jag måste skriva. Vi kommer att diskutera Pegasus-skandalen.

Jag anstränger mig för att undvika nyheterna av mentala skäl, men med tanke på mitt yrke kunde jag inte undgå nyheten om den här historien. Det var trendigt på nyhetssajter runt om i världen.

Trots den här historiens popularitet har jag haft svårt att hitta en enkel och grundlig förklaring av detaljerna i Pegasus-skandalen. Det är därför jag skriver till dig idag.

I det här inlägget kommer jag att täcka allt du behöver veta om denna incident i termer som är lätta att förstå, även om du inte kan mycket om teknik. Jag kommer också att gå in på lite historia om denna fråga samt bilden som den målar upp för vår framtid.

Låt oss börja med de fakta du behöver veta först.

Pegasus-skandalen: grunderna

För den första hälften av den här artikeln kommer jag bara att täcka de kritiska fakta i denna berättelse. Om du inte vet något om denna skandal är det här ett bra ställe att börja.

Vad är Pegasus-skandalen?

Pegasus-skandalen är namnet på ett av vår tids läskigaste cybersäkerhetsbrott. "Pegasus" är namnet på skadlig programvara som utvecklats av en grupp som kallas "NSO".

Pegasus kan infektera alla större smartphones idag. Det inkluderar iPhone 11 och iPhone 12 såväl som de flesta Android-smarttelefoner.

När en enhet har blivit infekterad får Pegasus tillgång till root-behörigheter för den enheten. För de som inte vet, hänvisar rootbehörigheter till djup administrativ kontroll av en enhet. Det inkluderar kameror, mikrofoner, meddelandeappar, e-postmeddelanden, foton och videor, telefonsamtal, kontakter, kalendrar och GPS-data.

Med andra ord ger root-behörigheter programvara tillgång till allt. Helst är den enda programvaran på din iPhone som har tillgång till root-behörigheter iOS själv. Och den enda personen som kan agera på dessa behörigheter är du och (vid sällsynta tillfällen som iPhone-reparationer) Apple.

Men i det här fallet kunde Pegasus komma åt och använda (och gjorde använda) alla dessa rotbehörigheter för att spionera på användare.

Jag försöker normalt undvika negativitet, men det kan inte bli för mycket allvarligare än så här. Föreställ dig alla dina värsta rädslor för att bli spionerad av din enhet, och det är i princip vad Pegasus har kunnat åstadkomma.

Deltog Apple, Google och andra avsiktligt i Pegasus-skandalen?

Nej, Apple, Google och andra enhetstillverkare deltog inte medvetet i Pegasus-skandalen. Åtminstone inte så vitt vi vet.

Baserat på den bästa undersökande journalistiken som bedrivs vid denna tidpunkt, ser det inte ut som att något av dessa stora teknikföretag hade något med detta att göra. Om något så har dessa företag blivit helt upp och ner av den här nyheten.

Förhoppningsvis arbetar ingenjörerna på dessa företag natt och dag för att stoppa Pegasus i dess spår samt förhindra framtida attacker som den.

Inte nog med att Apple och andra inte deltog i detta, utan Apple har gjort uttalanden som avfärdar dessa attacker och hävdar att iPhone fortfarande är den säkraste mobila enheten på marknaden.

För att vara rättvis, iPhone förmodligen är fortfarande den säkraste smartphonen som finns. Men som vi har lärt oss, kanske det inte räcker längre. Jag kommer mer in på detta i artikeln.

Vem är i riskzonen?

Den enda antydan om goda nyheter kring Pegasus-skandalen (bortsett från det faktum att berättelsen överhuvudtaget bröts) är att du förmodligen inte är i riskzonen. Denna programvara har utvecklats för statlig användning, vilket innebär att den främst riktar sig till individer i politiska maktpositioner.

Du bör personligen vara orolig över effekterna av Pegasus (oavsett nationalitet) om du:

• Ha ett politiskt uppdrag
• Är journalist (särskilt politisk)
• Ha politiskt inflytande
• Är medlem i en militär
• Arbeta för en regering (särskilt med tillgång till känslig information eller behörigheter)

Datan som avslöjades och läckte ut av journalisterna som undersökte den här historien (jag kommer att gå in mer i detalj på dem senare) visar ungefär 50 000 individer som påverkades av denna skandal.

För att ge dig en uppfattning om svårighetsgraden av de individer som utsatts för mål, blev Frankrikes president Emmanuel Macron framgångsrikt måltavla av Pegasus. Sedan dess har han bytt telefon.

Du är förmodligen säker

För närvarande verkar detta indikera att de allra flesta människor runt om i världen är säkra från Pegasus programvara. Jag är säker på att mer än 50 000 människor drabbades. Men det verkar inte finnas en indikation på civil massövervakning i detta specifika fall.

Som sagt, jag skulle inte råder dig att slappna av och glömma den här historien helt och hållet. Även om du med största sannolikhet inte har drabbats, kan konsekvenserna av detta säkert ha en inverkan på ditt liv.

Denna programvara (eller liknande) skulle vid en senare tidpunkt i historien kunna distribueras på civil nivå i massor. Eller så kan en av dina politiska ledare bli måltavla, vilket kan påverka din nationella säkerhet.

Hur som helst är detta stora nyheter för alla runt om i världen. Pegasus ligger några år före ledande cybersäkerhetsförsvar. Tills vi kommer ikapp utgör denna attack och andra liknande den ett allvarligt hot.

Du kommer förmodligen inte att veta om din enhet är infekterad

En av de mest oroande aspekterna av Pegasus-skandalen är hur svårt det är att lära sig vem som är och inte är smittad. Journalister kunde tillhandahålla en lista över berörda parter genom att hitta och läcka listor över mål över tid. Men de kunde inte hitta ett sätt att upptäcka Pegasus skadlig kod på en persons enhet.

Vi har med andra ord en uppfattning om vem som smittades eftersom namnlistor har avslöjats. Denna skandal avslöjades dock inte genom att hitta skadlig programvara på mobila enheter.

Ett exempel som motverkar detta är skadlig programvara Silver Sparrow, som hittades mittemot. Vi kunde hitta den på Mac-enheter, men den upptäcktes aldrig var den kom ifrån eller varför den användes.

För närvarande finns det lite eller inget sätt att bekräfta eller förneka närvaron av Pegasus på din enhet. Återigen, det är extremt osannolikt att din enhet har påverkats. Om du har anledning att tro att du kan vara i riskzonen (dvs. du är medlem i en av målgrupperna jag täcks tidigare) så kan det vara värt att köpa en ny iPhone och bli av med din nuvarande enhet helt och hållet.

Hur Pegasus malware fungerar

Pegasus skadlig programvara är vad som kallas en "nollklick"-attack. Det betyder att användaren av den riktade enheten inte behöver göra något för att bli smittad. Det kan äventyra din enhet utan några skadliga länkar, popup-fönster eller andra vilseledande metoder. Det skickas helt enkelt till en enhet, och kort därefter infekteras enheten.

Av vad vi vet hittills ser det ut som att Pegasus skickas till enheter på ett av två sätt.

Den första är genom att skicka en länk till användaren via e-post, textmeddelande eller snabbmeddelanden (dvs WhatsApp). När användaren klickar på länken börjar infektionsprocessen. I det här fallet skulle attacken tekniskt sett inte vara "nollklick".

Den andra metoden använder sårbarheter i vanliga appar. Detta inkluderar både vanliga tredjepartsappar (som WhatsApp) såväl som inbyggda appar som Apple Music och Photos. Även om specifika detaljer inte har avslöjats (eller släppts till allmänheten), upptäcktes det misstänkt aktivitet inträffade i både Apple Music och Photos strax innan Pegasus kunde infektera systemet.

Hur zero-day sårbarheter fungerar

Man tror att Pegasus kunde infektera iPhones genom inbyggda iOS-appar genom att leta efter "nolldagars" sårbarheter. En nolldagarssårbarhet är när en hackare börjar brute-force olika attacker på programvara så fort den släpps. På så sätt kan hackaren hitta en sårbarhet innan utvecklaren kan och utnyttja den.

Enkelt uttryckt, när Apple släpper en ny version av iOS (även en inkrementell uppdatering som iOS 14.7) finns det nästan alltid en oförutsedd sårbarhet. Efter några dagar eller veckor kommer den sårbarheten att avslöjas, och innan några hackare kan utnyttja den kommer Apple att släppa en ny uppdatering som tar bort denna sårbarhet. Det är därför du ibland får back-to-back iOS-uppdateringar.

Tyvärr finns det vissa grupper (inklusive Pegasus utvecklare NSO) som har resurserna och motivationen att avslöja en sårbarhet samma dag som mjukvaran släpps.

Så de hittar sårbarheten, modifierar Pegasus för att utnyttja den sårbarheten och skickar sedan Pegasus till offret. När Apple hittar och korrigerar sårbarheten är enheten redan infekterad, så patchen är ineffektiv för den användaren och andra offer.

Det är viktigt att notera att de flesta av sårbarheterna i Apples programvara är oundvikliga. På samma sätt som det är omöjligt att bygga ett valsäkert lås, finns det inget sätt för Apple att släppa en version av iOS som är helt okackbar.

Det är därför iPhone anses vara den "säkraste" och inte den "helt säkra" smartphonen. Så Apple och co förtjänar en viss mildhet tillsammans med den (lämpligt riktade) kritiken.

Lite bakgrund om Pegasus utvecklare NSO

Det är alla detaljer som du behöver veta. Nu ska vi gå in på några finare punkter såväl som diskussioner om effekterna av Pegasus-skandalen. Låt oss först utforska NSO.

Som nämnts är NSO gruppen som utvecklade Pegasus malware. De är baserade i Israel och har arbetat med teknik som denna sedan 2010-talet, vilket är precis vid den tidpunkt då smartphones skiftade från en nyhet till en nödvändighet.

Föga överraskande är den senaste historien om Pegasus inte första gången som NSO har hamnat i varmt vatten. Hela dess historia är fylld av kontroverser och, utan tvekan, brott. Här är några av de "mindre" frågorna kring NSO:

• 2012 anlitade den mexikanska regeringen NSO för att hjälpa den hålla koll på journalister och människorättsaktivister i Mexiko (källa)
• 2018 anklagades NSO för att ha hjälpt den saudiarabiska regeringen att spionera på människorättsgruppen Amnesty International (källa)
• Trots att NSO: s Pegasus skadlig programvara är avsedd exklusivt för användning av regeringar, försökte en av NSO: s personal sälja programvaran online i utbyte mot kryptovaluta, vilket belyser möjligheten att Pegasus hamnar i fel händer (naturligtvis är det diskutabelt om det ens finns "rätt händer" för Pegasus eller inte att falla i) (källa)

Andra skandaler har följt NSO

Större skandaler har plågat NSO också. Det har stämts av Facebook-ägda WhatsApp för att ha injicerat sitt spionprogram på WhatsApp-användares enheter via WhatsApp-plattformen (källa). Den påstådda attacken påverkade 1 400 användare i 20 länder.

Bland dessa användare fanns (ni gissade rätt) många journalister och människorättsförsvarare. WhatsApp påstod sig också ha upptäckt att dessa attacker härrörde från NSO-servrar. Om det är sant, verkar det tyda på att NSO direkt använde Pegasus för att infektera dessa användare, inte en av NSO: s klienter/kunder.

Det påstås också att Pegasus-mjukvaran användes för att spåra Jamal Khashoggi av den saudiarabiska regeringen under månaderna före mordet (källa). För alla som minns var detta ett internationellt förödande brott. Att se Pegasus kopplat till det är ingen liten sak.

Kort sagt, NSO har utvecklat Pegasus övervakningsprogramvara för den israeliska regeringen under det senaste decenniet. Mjukvaran har dock inte bara använts av Israel. Den israeliska regeringen har licensierat programvaran till andra regeringar, som till stor del har använt den för att kväva och ta bort journalister, aktivister och människorättsförsvarare.

Uttryckt på ett annat sätt verkar NSO av allt att döma vara en förövare av dystopisk taktik. Detta kan vara dess största skandal hittills, men det är inte på något sätt en extremist i gruppens historia.

NSO tillbakavisar påståenden om sin Pegasus-mjukvara

Till ingens förvåning tillbakavisar NSO påståendena kring Pegasus-skandalen.

Vilka påståenden motbevisar det? Detaljerna har inte nämnts. Gruppens advokater har helt enkelt avfärdat konsekvenserna av dess programvara utan att diskutera specifika anklagelser.

Allt NSO: s advokater har sagt hittills är att påståendena från journalisterna som avslöjade och läckte denna information är "en sammanställning av spekulativa och grundlösa antaganden."

Det är värt att notera att när man ställs inför anklagelserna kring WhatsApp, var allt NSO hade att säga att "NSO Group driver inte Pegasus programvara för sina kunder.” Med andra ord, allt det hade att säga om saken var att det som kunderna gör med sin programvara inte är det företag.

Så det ser ut som att NSO håller fast vid det beprövade försvaret "Jag gjorde det inte, och även om jag gjorde det, det är inte mitt fel".

Apples säkerhets- och integritetsanspråk har för alltid ifrågasatts

Jag nämnde tidigare att jag tycker att Apple, Google och andra förtjänar lite mildhet när det kommer till den här typen av attacker. De är trots allt till viss del oundvikliga.

Apple har inte makten att stoppa globala regeringsfinansierade organisationer från att kila in skadlig övervakning genom iOS-uppdateringar. Om Apple kunde skapa en hacksäker version av iOS, är jag säker på att det redan hade gjort det.

Som sagt, jag skulle inte hävda att Apple och företaget är undantagna från kritik. Jag har täckt integritet på AppleToolBox och andra webbplatser under en lång tid eftersom det utan tvekan är den viktigaste utmaningen som tekniken står inför idag. Och under lång tid har Apple varit det bästa vanliga teknikföretaget på att förhindra den här typen av skandaler.

Att se hur effektiv och utbredd Pegasus-skandalen är ger nya punkter i integritetsdiskussionen.

För det första, i vilken utsträckning är Apple ansvarigt? Bör den ändra sättet den tillverkar sina enheter och mjukvara, och i så fall hur?

För det andra är det säkert att säga att för alla Apples bästa ansträngningar och marknadsföringsslogans är din iPhone inte skottsäker. Det enda sättet att verkligen undvika övervakning är att förbli en ingen och/eller leva isolerad från modern teknik.

För det tredje belyser det hur ofelbart Det är viktigt att politiska tjänstemän vaknar upp och utbildas i cybersäkerhet och tekniska frågor. Medan några lovande framsteg börjar ske (läs här), det går för långsamt. Nya regleringar, innovationer och försvar på administrativ nivå behövs för att hjälpa till att avvärja det växande hotet om cyberattacker.

Ursprunget till grupper som NSO

NSO verkar vara det mest pressande hotet mot vår digitala säkerhet och integritet under åtminstone de senaste tio åren. Det är för mycket kraft i för många händer, som alla verkar vara de sämsta händerna som finns.

På samma sätt som den amerikanska regeringen förtjänar kritik när den säljer vapen till dåliga aktörer, bör den israeliska regeringen hållas ansvarig för var och hur Pegasus distribueras, förutsatt att den till och med borde tillåtas distribueras, till att börja med med.

Pegasus-skandalen är förstås inte den första i sitt slag. Intel och säkerhetsskandaler har plågat USA under de senaste 50 åren som grupper som FBI, NSA och CIA har använt liknande taktik och strategier för att rikta sig mot samma grupper som Pegasus – rättighetsaktivister och journalister.

Det är svårt att inte tro att ursprunget till grupper som NSO började med inspiration från spioneri som utfördes av USA: s och Storbritanniens regeringar. Båda länderna visade sig vara dåliga aktörer på denna front tack vare informationen som läckt ut av den tidigare NSA-entreprenören Edward Snowden.

Medan många av programmen som avslöjades av Edward Snowden har (åtminstone "officiellt") stängts, 2013 års läcka inspirerade utan tvekan länder som Israel och grupper som NSO att sträva efter sina mål på detta område.

Liknar hur utvecklingen av atombomben inom kort kopierades av vartannat land med resurser att gör det, jag föreställer mig att det finns massor av Pegasus-kloner som kopierar det tidigare arbetet från U.S.A. regering.

Hur Pegasus-skandalen avslöjades

Arbetet som gjorts för att få fram Pegasus-skandalen är ganska fascinerande. Det är verkligen en av de mest sofistikerade instanserna av undersökande journalistik som jag någonsin hört talas om.

Efter läckan av 50 000 telefonnummer 2020 (som var knutna till Pegasus), gick sjutton mediapublikationer samman för att undersöka NSO och dess mjukvara. Bland dessa publikationer finns Väktaren, Washington Post, världen, Processo, och Tråden.

Totalt undersökte 80 journalister från dessa publikationer denna läcka i flera månader. Under den tiden samarbetade dessa journalister med andra utrednings- och kriminaltekniska tjänster för att identifiera telefonnumren, söka genom enheterna för skadlig programvara (när det var möjligt), och bekräftade att enheterna inte bara spårades utan spårades av NSO: s programvara.

Högprofilerade individer från hela världen har utsatts för mål, inklusive Frankrikes president Emmanuel Macron, Egyptens premiärminister Mostafa Madbouly, och Barham Salih, presidenten för Irak.

Som nämnts är en majoritet av de riktade individerna journalister och människorättsaktivister. Vid sidan av mordet på Jamal Khashoggi finns det band mellan Pegasus och fängslandet och tortyren av den saudiska kvinnorättsaktivisten Loujain al-Hathloul, mordet på mexikansk anti-korruptionsjournalisten Cecilio Pineda Birto, och läckandet av intima bilder på Fatima Movlamli (hon var 18 år när bilderna läcktes), en motståndare till lokalt auktoritärt styre i Azerbajdzjan.

Det arbete som dessa journalister utför är lika delar inspirerande modigt och förödande ögonöppnande.

Framtiden för säkerhet och integritet inom tekniken ser mörk ut igen

Under större delen av 2010-talet var det allmänt accepterat att vår teknik användes för att spionera på oss. Detta bekräftades av Edward Snowdens läcka 2013.

Efter den läckan verkade det dock som att det hela tiden förbättrades. Apple och andra har tagit starka ställningstaganden när det gäller att skydda sina användares integritet, och trots cynism har det verkat som att dessa företag hade lagt sina pengar där deras mun var.

Dessutom verkar USA ha avbrutit sina tidigare spionprogram, och de senaste rättsfallen har ansett att NSA: s övervakning var olaglig och potentiellt grundlagsstridig.

Men Pegasus-skandalen verkar visa att goda avsikter på ett område inte är lika med goda avsikter på alla områden. Reformeringen av vissa dåliga skådespelare är inte lika med reformationen av alla dåliga skådespelare. Och det verkar som, åtminstone med världens tillstånd idag, att det finns lite någon kan göra åt detta.

Efter all journalistik som bedrivits om denna skandal har det förblivit avgörande att om någon vill använda Pegasus-mjukvaran mot dig, det finns inget du kan göra för att hindra dem från att isolera dig från tech.

NSO: s ursäkt för att skapa och licensiera Pegasus

Enligt NSO är Pegasus-mjukvaran endast avsedd att användas mot terroristorganisationer. NSO hävdar att den veterinär potentiella regeringar innan de licensierar programvaran till dem för att minska chanserna att de kommer att använda den för dåliga syften.

Det är dock svårt att tro med tanke på att programvaran var licensierad till kända dåliga skådespelare i mitten österut, till den mexikanska regeringen (som har en lång historia av att vara motståndare till aktivister), och andra. Och oavsett NSO: s avsikter har programvaran använts för ondska.

Det är svårt att sätta en positiv snurr på den här historien. Det verkar som att de i maktpositioner återigen har skapat verktyg för missbruk utifrån de möjligheter och resurser som makten erbjuder. Det är en högtidlig påminnelse om att regeringarnas slutmål är att samla in och behålla makt till varje pris och i alla former. Och det är en påminnelse till medborgarna om att vara vaksamma, viljestarka och skarpa.

Intresserad av fler berättelser som Pegasus-skandalen?

Prenumerera på AppleToolBox nyhetsbrev för att hålla dig uppdaterad med de senaste nyheterna, kontroverser och allt annat Apple.