Hlavní obsah

„Umřel táta, přijeď!“ Izraelci se do telefonu dostanou SMSkou i bez kliknutí

Foto: Profimedia.cz

Šmírovací progam (spyware) izraelské firmy NSP Group umí na mobilní telefon proniknout, aniž musí uživatel na cokoli kliknout.

Někomu se dostal do telefonu přes děsivou SMS, jinde stačil zmeškaný hovor. Izraelský sledovací software NSO Pegasus se pomocí nových zranitelností umí dostat skoro do všech telefonů. Jak toho dosáhne a co pak posílá zadavatelům?

Článek

Rodinné fotky, komunikace, navigace, práce, zábava, vyhledávání zdravotních informací, kalendář, bezkontaktní placení i intimní detaily každodenního života. To všechno o vás ví váš mobilní telefon.

Představte si, kdyby všechny tyto vaše soukromé detaily každý den četl kromě vás i někdo jiný. Skupina lidí, pro kterou jste z nějakého důvodu klíčový. A nemusí to být zrovna proto, že jste podezřelí z terorismu nebo jiné kriminální aktivity. Stačí, že jste někomu nepohodlní.

Díky ohromnému úniku padesáti tisíců čísel a následnému mezinárodnímu investigativnímu projektu novinářů z celého světa máme nyní lepší představu o tom, co všechno tento šmírovací software umí.

Máme tak úplnější – i když stále jen kusé – informace o fungování tohoto mocného nástroje v rukou demokratických států, diktatur i neznámých organizací. Na koho jej zadavatelé „posílají“, jaké triky používají k průniku do mobilního telefonu a jak těžké je takovému útoku zabránit.

Nemohli jsme používat vlastní mobily ani počítače. Museli jsme postupovat maximálně opatrně. Mnozí kolegové novináři – zejména v Maďarsku – našli svá čísla na seznamu cílů odposlouchávání.
Pavla Holcová, investigativní reportérka Investigace.cz

Zorganizovat mezinárodní spolupráci na takovémto investigativním projektu bylo komplikované. A to nejen kvůli probíhající celosvětové pandemii, ale hlavně kvůli tomu, že mnozí novináři byli rovněž tímto špionážním nástrojem napíchnuti. „Nesměli jsme v rámci práce na tomto investigativním projektu používat mobilní telefony ani své běžné počítače, přestože je máme všichni velmi zabezpečené,“ popsala nám Pavla Holcová z projektu Investigace.cz, jediného českého zástupce v mezinárodním týmu investigativců. „Museli jsme používat bezpečný počítač, Tails (distribuce operačního systému Linux s důrazem na bezpečnou komunikaci, pozn. red.) a zavedli jsme svůj vlastní systém pro komunikaci a sdílení informací.“

Někteří z jejích kolegů se na uniklém seznamu čísel určených k odposlouchávání sami našli. „Šlo zejména o kolegy z Maďarska, tam je to ‚největší masakr‘,“ uvedla Holcová. Sama nebyla rozsahem špionáže až tak překvapena: „Nejsem člověk, co by se svěřoval po telefonu. Nejbezpečnější data jsou ta, která neexistují.“ Málokdo si ale osvojil takovou míru opatrnosti, obvyklejší je, že lidé svému telefonu svěřují vše a ani se nad tím nezamýšlí.

Šmírovací program vidí vše

Většina lidí má povědomí o „klasickém napíchnutí“, tedy odposlechu ze strany policie. Žádost o takový odposlech předá státnímu zástupci a musí ji posvětit soud. Operátor pak ze zákonné povinnosti předává policii informace o hovorech, obsah textových zpráv a přibližné informace o poloze.

Ale spyware (šmírovací program) Pegasus izraelské společnosti NSO Group se těmito pojistkami zdržovat nemusí. Jde o neoficiální cestu, kterou používají státy i nestátní organizace po celém světě. Jeho nasazení je tajné, pokoutné, obvykle nepodléhá žádným oficiálním limitům.

A přitom má kdokoli, kdo tuto neoficiální špionáž u NSO Group objednal, přístup k mnohem většímu množství dat. Zjednodušeně řečeno vidí vše, co vidí na obrazovce majitel telefonu.

Foto: Seznam Zprávy

Přehled schopností šmírovacího nástroje NSO Pegasus

Špionážní programy nejsou nic nového nebo neobvyklého. Existovaly už v době dávno před mobilními telefony. Například tzv. keyloggery mohly běžet na pozadí počítače a posílat útočníkovi informace o všech klávesách, které jste na počítači stiskli, a tak třeba odchytit vaše heslo.

Není potřeba nikam klikat

Proti tradičním keyloggerům a šmírovacím programům se ale uživatelé mohou celkem účinně bránit dodržováním základních bezpečnostních zásad: používat silná unikátní hesla, udržovat aktualizovaný operační systém na svém zařízení, neinstalovat neznámé programy a neklikat na neznámé odkazy.

Jenže Pegasus je jiný. K proniknutí do telefonu této špionážní aplikaci často stačí pouze to, že je cílový telefon zapnutý. Podle technické analýzy, kterou zveřejnila Amnesty International Security Lab a nezávisle ověřila kanadská Citizen Lab, využívá Pegasus tzv. zero-day a zero-click zranitelností v operačním systému nebo nainstalovaných aplikacích.

Zranitelnosti a jejich zneužívání

Zranitelnost je jakákoli chyba v počítačovém programu, kterou může někdo zneužít ke krádeži dat, získání neoprávněného přístupu nebo třeba k nahrání a spuštění vlastního neautorizovaného počítačového kódu. Pokud se výrobce software dozví o chybě, může vydat záplatu. Uživatelé, kteří provedou aktualizaci na nejnovější verzi programu, jsou pak před takovým útokem chráněni. Čím déle uživatel aktualizaci odkládá, tím větší je šance, že někdo využije známou zranitelnost k útoku na jeho zařízení.

Zero-day zranitelnost je taková, kterou je možné okamžitě využít k napadení. Opravit takovou zranitelnost musí být prioritou výrobce software, jinak – jakmile je informace o takové zranitelnosti veřejná – hrozí masové útoky na uživatele daného programu.

Zero-click zranitelnost je specifickým typem zranitelnosti, který nevyžaduje žádnou aktivitu od uživatele napadeného zařízení. Útočník se do systému dostane, aniž by uživatel kupříkladu klikal na odkaz nebo nainstaloval či odsouhlasil instalaci nějakého programu. Pokud není zero-click zranitelnost rychle záplatována, jedná se o fatální bezpečnostní díru.

Obvyklé rady bezpečnostních expertů tak v tomto případě nefungují. Pegasus se umí lidem nainstalovat do iPhonu nebo mobilu s Androidem, aniž jejich uživatelé cokoli zanedbali nebo na něco neopatrně klikli.

„To, co mne překvapilo, byl ten zero-click exploit (zneužití chyby, pozn. red.),“ přiznává Pavla Holcová z Investigace.cz. „Člověk nemusí udělat vůbec nic a jeho telefon je infikován. Ve dvou případech jsme přišli, jaká zero-day zranitelnost byla využita. Jednou to byla zranitelnost v iMessages a jednou WhatsApp call. Někdo člověku zavolal, on to ani nemusel zvednout a stejně jej Pegasus infikoval,“ vysvětluje.

„Zabránit takovému útoku je nemožné, zejména pokud využívá neveřejné zero-day zranitelnosti, pro které dosud neexistují bezpečnostní záplaty,“ uvedl etický hacker Pavol Lupták pro investigace.cz. „Přestože za ně tyto společnosti nabízejí tučné odměny ve svých bug bounty (vypsání odměny za nalezení chyby, pozn. red.) programech, společnosti jako NSO, VUPEN, Hacking Team či Gamma Group za podobné zranitelnosti platí mnohem více.“

Obrana? Téměř neexistuje

A protože se Pegasus usídlí přímo na telefonu, nepomůže ani používání „bezpečných komunikačních platforem“ využívajících end-to-end šifrování. To chrání před odposlechem po cestě, ale nikoli před odposlechem na samotném zařízení.

Připadal jsem si jako lékař ve 14. století během morové rány. Nemůžu lidem skutečně pomoci, můžu maximálně sčítat škody.
Claudio „Nex” Guarnieri, Amnesty Security Lab

S forenzní analýzou pomáhal Holcové a dalším spolupracujícím novinářům také výzkumník a vývojář Claudio Guarnieri z bezpečnostní laboratoře Amnesty International. „Z pohledu šifrování není nic, co by vás před tímto typem útoku ochránilo,“ uvedl pro Washington Post. „A nejde jen o nějaké odposlouchávání komunikace. Pegasus jde mnohem dále. Tento nástroj si může sáhnout úplně na všechno, co v telefonu máte.“

Ani iPhone, který je někdy označován za zlatý standard zabezpečení, není útokům odolný. V roce 2019 byla například k útoku zneužívána zranitelnost v iOS, konkrétně v iMessage a FaceTime.

Foto: Amnesty International

Ukázka záznamů o komunikaci, která svědčí o využití zero-click zranitelnosti v iMessage v telefonu nejmenovaného maďarského novináře.

Výzkumníci byli u několika desítek telefonů schopni potvrdit nákazu spywarem Pegasus. U jiných zkoumaných telefonů našli stopy po snahách se do telefonu infiltrovat. Častěji to byly telefony značky Apple, ale to zdaleka neznamená, že by Androidy byly vůči nástroji Pegasus odolné, jen po sobě umí software lépe mazat stopy, respektive Android nezapisuje všechny operace, které by mohly vést k odhalení.

Místo zločinců sledují novináře a oběti

NSO Group odmítá, že by byl jejich nástroj systematicky zneužíván. Každý zákazník, který si od nich koupí licenci na použití šmírovacího nástroje Pegasus, musí být schválen izraelským ministerstvem obrany. Právník NSO také zdůrazňuje, že seznam padesáti tisíc telefonních čísel rozhodně není seznam lidí odposlouchávaných přes Pegasus. Takové číslo je podle něj „přehnané“. Připustil, že uniklý seznam může „obsahovat čísla, která klienti NSO Group používali k jiným účelům“.

Razantně také popřel, že by NSO Group měla cokoli společného s vraždou saúdského novináře pro Washington Post, Džamála Chášakdžího v roce 2018. Reportéři přitom našli indicie, že byly dvě ženy příbuzné Chášakdžímu odposlouchávány ve stejné době (celé vyjádření NSO Group zde).

Mezi další cíle odposlechů patří podle reportérů, kteří se investigací zabývali a zabývají, třeba pozůstalí po obětech masakru studentů v roce 2014 v Mexiku. Mexická vláda patří mezi známé klienty NSO Group a už v roce 2017 připustil mexický prezident, že využívají technologii Pegasus. Díky ní prý chytili narkobarona El Chapo Guzmána. „Naše vláda kategoricky odmítá, že by software mohl být zneužit k tomu, abychom se nabourávali do života běžných občanů,“ tvrdil tenkrát prezident Peña Nieto.

Pavla Holcová ale ve svém článku popisuje, proč to považuje za lež: „Podle naší analýzy byl telefon jednoho z pozůstalých po masakru napíchnutý v roce 2017 hned několikrát.“ Odposloucháváni byli pravděpodobně i mezinárodní vyšetřovatelé a právníci pozůstalých. Ti v Mexiku poukazovali na chyby v oficiálním vyšetřování masakru.

Foto: Profimedia.cz

Mexický prezident Andres Manuel Lopez Obrador odpovídá novinářům na dotazy ohledně toho, jak jeho předchůdci využívali nástroj Pegasus. Mezi údajnými cíli odposlouchávání bylo podle novinářů i několik lidí z jeho okolí.

„Není jasné, proč je sledovali, možná měli pocit, že by tam mohlo vzniknout nějaké hnutí odporu,“ řekla nám po telefonu Holcová. „Ale to byli farmáři, s platy 120 dolarů měsíčně, a někdo investoval miliony dolarů do jejich sledování.“

Útoky přímo na míru

Ne všechny oběti odposlechů byly nakaženy skrze zero-click zranitelnost. „Pegasus dělal hodně sociálního inženýrství. Třeba v roce 2016 a 2017, to ještě neměli zero-click exploit,“ popisuje Holcová. „Měli inteligentní způsob phishingu (podvodných důvěryhodně vypadajících zpráv zneužívaných k vylákání údajů, pozn. red.). Věděli třeba, že si ten člověk něco objednal z e-shopu, tak mu poslali zprávu, zásilka je k vyzvednutí, více detailů zde.“

Zatímco v Evropě sázeli útočníci na sledování zásilek z obchodu, v Mexiku dostávali lidé často mnohem děsivější zprávy, které měly cílovou osobu donutit kliknout: „Táta zemřel, přijeď na pohřeb, detaily tady!“ Následoval odkaz a kliknutí na něj vedlo k nainstalování odposlouchávacího nástroje.

Na seznamu padesáti tisíc čísel byli lidé z desítek zemí, nejvíce jich bylo z Ázerbájdžánu, Bahrajnu, Indie, Kazachstánu, Maďarska, Mexika, Maroka, Rwandy, Saúdské Arábie a Spojených arabských emirátů (to samo o sobě neznamená, že všechny tyto země jsou klienty NSO Group).

Je to nástroj, který narušuje základní pravidla civilizované společnosti.
Carmen Aristegui, novinářka

Je tam i číslo novinářky Carmen Aristegui, která je známá i americkému publiku díky svým výstupům v CNN. Souhlasila, že investigativní reportéři mohou podrobit její telefon a telefony jejích kolegů forenzní analýze. Našli zde stopy po infiltraci, což ji nepřekvapilo, neskrývala ale své znechucení: „Pegasus je něco, co vstupuje do vaší kanceláře, domova, postele, do každého koutu vaší existence,“ řekla Aristegui. „Je to nástroj, který narušuje základní pravidla civilizované společnosti.“

Ne všichni si myslí, že každé šmírování je automaticky špatné. „Je to neuvěřitelně mazaný software,“ domnívá se Timothy Summers, bývalý pracovník americké tajné služby, který nyní působí na univerzitě v Arizoně. „Není v zásadě nic špatného na tom vytvořit nástroj, který slouží ke sběru informací, někdy je to nezbytné. Ale nemůžete takový nástroj dát k dispozici jen tak někomu.“

S tím souhlasí i Guillermo Castellanos, bývalý šéf mexické tajné služby CISEN: „Pegasus je velmi užitečný pro boj s organizovaným zločinem. Ale naprostá absence jakýchkoli kontrolních mechanismů v mexických úřadech znamená, že se tento nástroj snadno dostane do rukou někoho, kdo jej zneužije pro politický nebo osobní prospěch.“

Jedním z novinářů, na jehož telefonu se potvrdila nákaza šmírovacím nástrojem Pegasus, je Siddharth Varadarajan z indické publikace Wire: „Cítíte se strašně zasažený. Je to strašný zásah do soukromí, nikdo by tomu neměl být vystaven.“ Okamžitě si vzpomněl na své zdroje, aby věděl, kdo je díky odposlechům v potenciálním nebezpečí.

A vybavila se mu jeho nedávná schůzka s ministrem, který byl během rozhovoru nesmírně opatrný: „Na poslední chvíli změnil místo setkání. Vypnul telefon a já musel udělat totéž. Naše vypnuté telefony dal do vedlejší místnosti, kde pak pustil nahlas hudbu. Říkal jsem si, páni, ten chlápek je fakt paranoidní. Ale možná věděl, co dělá.“

Doporučované