Un'importante indagine giornalistica ha trovato prove dell'uso di software dannoso da parte dei governi di tutto il mondo, comprese le accuse di spionaggio su individui di spicco.

Da un elenco di oltre 50.000 numeri di telefono, i giornalisti hanno identificato più di 1.000 persone in 50 paesi, secondo quanto riferito, sotto sorveglianza utilizzando lo spyware Pegasus. Il software è stato sviluppato dalla società israeliana NSO Group e venduto a clienti governativi.

Tra gli obiettivi segnalati dello spyware ci sono giornalisti, politici, funzionari governativi, amministratori delegati e attivisti per i diritti umani.

I rapporti finora alludono a uno sforzo di sorveglianza che ricorda un incubo orwelliano, in cui lo spyware può catturare sequenze di tasti, intercettare comunicazioni, tracciare il dispositivo e utilizzare la telecamera e il microfono per spiare l'utente.

Come hanno fatto?

Non c'è niente di particolarmente complicato nel modo in cui lo spyware Pegasus infetta i telefoni delle vittime. L'hack iniziale prevede un SMS o un iMessage artigianale che fornisce un collegamento a un sito Web. Se cliccato, questo collegamento fornisce software dannoso che compromette il dispositivo.

L'obiettivo è prendere il pieno controllo del sistema operativo del dispositivo mobile, tramite rooting (su dispositivi Android) o jailbreak (su dispositivi Apple iOS).

Di solito, il rooting su un dispositivo Android viene eseguito dall'utente per installare applicazioni e giochi da app store non supportati o riattivare una funzionalità disabilitata dal produttore.

Allo stesso modo, un jailbreak può essere implementato sui dispositivi Apple per consentire l'installazione di app non disponibili sull'App Store di Apple o per sbloccare il telefono per l'utilizzo su reti cellulari alternative. Molti approcci di jailbreak richiedono che il telefono sia connesso a un computer ogni volta che viene acceso (denominato "jailbreak collegato").

Il rooting e il jailbreak rimuovono entrambi i controlli di sicurezza incorporati nei sistemi operativi Android o iOS. In genere sono una combinazione di modifiche alla configurazione e un "hack" degli elementi principali del sistema operativo per eseguire codice modificato.

Nel caso dello spyware, una volta sbloccato un dispositivo, l'autore del reato può distribuire ulteriore software per proteggere l'accesso remoto ai dati e alle funzioni del dispositivo. È probabile che questo utente rimanga completamente all'oscuro.

La maggior parte dei resoconti dei media su Pegasus si riferiscono alla compromissione dei dispositivi Apple. Lo spyware infetta anche i dispositivi Android, ma non è così efficace in quanto si basa su una tecnica di rooting non affidabile al 100%. Quando il tentativo di infezione iniziale fallisce, lo spyware presumibilmente richiede all'utente di concedere le autorizzazioni pertinenti in modo che possa essere implementato in modo efficace.

Come funziona lo spyware Pegasus- pic.twitter.com/GbE4RBUTvJ

— Rohan (@rohanreplies) 19 luglio 2021

Ma i dispositivi Apple non sono più sicuri?

I dispositivi Apple sono generalmente considerati più sicuri dei loro equivalenti Android, ma nessuno dei due tipi di dispositivo è sicuro al 100%.

Apple applica un elevato livello di controllo al codice del suo sistema operativo, nonché alle app offerte tramite il suo app store. Questo crea un sistema chiuso spesso definito "sicurezza per oscurità". Apple esercita anche il controllo completo sull'implementazione degli aggiornamenti, che vengono poi rapidamente adottati dagli utenti.

I dispositivi Apple vengono aggiornati frequentemente all'ultima versione di iOS tramite l'installazione automatica delle patch. Ciò aiuta a migliorare la sicurezza e aumenta anche il valore di trovare un compromesso praticabile per l'ultima versione di iOS, poiché la nuova verrà utilizzata su un'ampia percentuale di dispositivi a livello globale.

D'altra parte, i dispositivi Android si basano su concetti open source, quindi i produttori di hardware possono adattare il sistema operativo per aggiungere funzionalità aggiuntive o ottimizzare le prestazioni. In genere vediamo un gran numero di dispositivi Android che eseguono una varietà di versioni, con il risultato inevitabilmente di alcuni dispositivi privi di patch e non sicuri (il che è vantaggioso per i criminali informatici).

In definitiva, entrambe le piattaforme sono vulnerabili al compromesso. I fattori chiave sono convenienza e motivazione. Sebbene lo sviluppo di uno strumento malware per iOS richieda maggiori investimenti in termini di tempo, impegno e denaro, avere molti dispositivi che eseguono un ambiente identico significa che c'è una maggiore possibilità di successo su scala significativa.

Sebbene molti dispositivi Android siano probabilmente vulnerabili alla compromissione, la diversità di hardware e software rende più difficile distribuire un singolo strumento dannoso a un'ampia base di utenti.

Come faccio a sapere se sono monitorato?

Mentre la fuga di oltre 50.000 numeri di telefono presumibilmente monitorati sembra molto, è improbabile che lo spyware Pegasus sia stato utilizzato per monitorare chiunque non sia pubblicamente prominente o politicamente attivo.

È nella natura stessa dello spyware rimanere nascosti e non rilevati su un dispositivo. Detto questo, esistono meccanismi in atto per mostrare se il tuo dispositivo è stato compromesso.

Il modo (relativamente) semplice per determinarlo è utilizzare il Mobile Verification Toolkit (MVT) di Amnesty International. Questo strumento può essere eseguito sia con Linux che con MacOS e può esaminare i file e la configurazione del tuo dispositivo mobile analizzando un backup preso dal telefono.

Sebbene l'analisi non confermerà o smentirà se un dispositivo è compromesso, rileva "indicatori di compromissione" che possono fornire prove di infezione.

È davvero un grande progetto realizzato dagli stessi ricercatori di Amnesty che hanno confermato le infezioni da Pegasus sui telefoni delle vittime. MVT consente a chiunque di eseguire un backup del proprio telefono e cercare gli indicatori di compromissione associati a Pegasus. https://t.co/IQ1YDDBCcQ pic.twitter.com/dhoImNvw4P

— Zack Whittaker (@zackwhittaker) 19 luglio 2021

In particolare, lo strumento è in grado di rilevare la presenza di software (processi) specifici in esecuzione sul dispositivo, nonché di una serie di domini utilizzati nell'ambito dell'infrastruttura globale che supporta una rete di spyware.

Cosa posso fare per essere protetto meglio?

Sebbene sia improbabile che la maggior parte delle persone venga presa di mira da questo tipo di attacco, ci sono comunque semplici passaggi che puoi adottare per ridurre al minimo la tua potenziale esposizione, non solo a Pegasus ma anche ad altri attacchi dannosi.

1. Apri solo link da contatti e fonti conosciuti e fidati quando usi il tuo dispositivo. Pegasus viene distribuito sui dispositivi Apple tramite un collegamento iMessage. E questa è la stessa tecnica utilizzata da molti criminali informatici sia per la distribuzione di malware che per truffe meno tecniche. Lo stesso consiglio vale per i link inviati via e-mail o altre applicazioni di messaggistica.
2. Assicurati che il tuo dispositivo sia aggiornato con tutte le patch e gli aggiornamenti pertinenti. Sebbene avere una versione standardizzata di un sistema operativo crei una base stabile per gli aggressori da prendere di mira, è comunque la tua migliore difesa.
3. Se utilizzi Android, non fare affidamento sulle notifiche per le nuove versioni del sistema operativo. Verifica tu stesso la versione più recente, poiché il produttore del tuo dispositivo potrebbe non fornire aggiornamenti.
4. Anche se può sembrare ovvio, dovresti limitare l'accesso fisico al tuo telefono. A tale scopo, abilitando pin, dito o blocco facciale sul dispositivo. Il sito web del Commissario eSafety ha una serie di video che spiegano come configurare il tuo dispositivo in modo sicuro.
5. Evita i servizi Wi-Fi pubblici e gratuiti (inclusi gli hotel), soprattutto quando accedi a informazioni sensibili. L'uso di una VPN è una buona soluzione quando è necessario utilizzare tali reti.
6. Crittografa i dati del tuo dispositivo e abilita le funzioni di cancellazione remota ove disponibili. Se il tuo dispositivo viene smarrito o rubato, avrai la certezza che i tuoi dati possono rimanere al sicuro.