Індустрыя назірання як паслугі павінна быць пастаўленая на пяткі

Вось мы зноў: з'явіўся яшчэ адзін прыклад дзяржаўнага сачэння за смартфонамі ад Apple і Google, і ён паказвае, наколькі складанымі могуць стаць атакі, якія падтрымліваюцца ўрадам, і чаму ёсць апраўданне трымаць мабільныя платформы ў поўнай блакіроўцы.

Што здарылася?

Я не збіраюся засяроджвацца на навінах, але коратка ўсё выглядае наступным чынам:

• Група аналізу пагроз Google мае апублікаваў інфармацыю, якая раскрывае ўзлом.
• Атаку стварыла італьянская кампанія сачэння RCS Labs.
• Атака была выкарыстаная ў Італіі і Казахстане, і, магчыма, у іншых месцах.
• Некаторыя пакаленні нападаў ажыццяўляюцца з дапамогай інтэрнэт-правайдэраў.
• У iOS зламыснікі злоўжывалі карпаратыўнымі інструментамі сертыфікацыі Apple, якія дазваляюць унутранае разгортванне праграм.
• Было выкарыстана каля дзевяці розных атак.

Атака працуе наступным чынам: аб'екту дасылаецца ўнікальная спасылка, мэта якой - прымусіць яго загрузіць і ўсталяваць шкоднаснае прыкладанне. У некаторых выпадках зламыснікі працавалі з інтэрнэт-правайдэрам, каб адключыць падключэнне да перадачы дадзеных, каб прымусіць аб'ектаў спампоўваць праграму для аднаўлення гэтага злучэння.

Эксплойты нулявога дня, якія выкарыстоўваліся ў гэтых атаках, былі выпраўленыя Apple. Раней папярэджвалі, што дрэнныя акцёры былі злоўжыванне яго сістэмамі, якія дазваляюць прадпрыемствам распаўсюджваць apps ўнутраны. Гэтыя адкрыцці звязаны з нядаўнімі навінамі ад Lookout Labs аб шпіёнскім праграмным забеспячэнні Android карпаратыўнага класа пад назвай Hermit.

Што рызыкуе?

Праблема тут у тым, што такія тэхналогіі сачэння камерцыялізуюцца. Гэта азначае, што магчымасці, якія гістарычна былі даступныя толькі ўрадам, таксама выкарыстоўваюцца прыватнымі падрадчыкамі. І гэта ўяўляе сабой рызыку, паколькі вельмі канфідэнцыяльныя інструменты могуць быць раскрытыя, выкарыстаны, рэканструяваны і злоўжываныя.

As Google сказаў: «Нашы высновы падкрэсліваюць, у якой ступені пастаўшчыкі камерцыйных сродкаў назірання распаўсюдзілі магчымасці, якія гістарычна выкарыстоўваліся толькі ўрадамі, якія валодаюць тэхнічным вопытам для распрацоўкі і ўкаранення эксплойтаў. Гэта робіць Інтэрнэт менш бяспечным і пагражае даверу, ад якога залежаць карыстальнікі».

Не толькі гэта, але гэтыя прыватныя кампаніі назірання дазваляюць распаўсюджваць небяспечныя хакерскія інструменты, адначасова прадастаўляючы гэтыя высокатэхналагічныя магчымасці сачэння ўрадам - ​​некаторыя з іх, здаецца, любяць шпіёніць за дысідэнтамі, журналістамі, палітычнымі апанентамі і праваабаронцамі. 

Яшчэ большай небяспекай з'яўляецца тое, што Google ужо адсочвае па меншай меры 30 вытворцаў шпіёнскага ПЗ, што сведчыць аб тым, што індустрыя камерцыйнага назірання як паслугі моцная. Гэта таксама азначае, што цяпер тэарэтычна магчымы доступ нават для ўрада, які не выклікае даверу, да інструментаў для такіх мэтаў - і, улічваючы так шмат выяўленых пагроз, якія выкарыстоўваюць эксплойты, выяўленыя кіберзлачынцамі, здаецца лагічным думаць, што гэта яшчэ адзін паток даходу, які заахвочвае зламыснікаў даследаванні.

Якія рызыкі?

Праблема: гэтыя ўяўныя цесныя сувязі паміж пастаўшчыкамі прыватызаванага сачэння і кіберзлачыннасцю не заўсёды будуць працаваць у адным кірунку. Гэтыя эксплойты — па меншай меры, некаторыя з якіх, здаецца, дастаткова цяжка выявіць, што толькі ўрады валодаюць рэсурсамі, каб зрабіць гэта — у рэшце рэшт выцякуць.

І ў той час як Apple, Google і ўсе астатнія застаюцца адданымі гульні ў кошкі-мышкі, каб прадухіліць такую ​​злачыннасць, зачыняючы эксплойты там, дзе яны могуць, існуе рызыка таго, што любая прадугледжаная ўрадам задняя дзверы або недахоп бяспекі прылады ў канчатковым выніку праскочаць у рэкламны рынкі, адкуль дойдзе да крымінальных.

Еўрапейскі рэгулятар па абароне даных папярэдзіў: «Адкрыццё шпіёнскага ПЗ Pegasus выклікала вельмі сур'ёзныя пытанні аб магчымым уздзеянні сучасных сродкаў шпіёнскага ПЗ на асноўныя правы, і асабліва на правы на прыватнасць і абарону даных».

Гэта не азначае, што няма законных прычын для даследаванняў бяспекі. Хібы ёсць у любой сістэме, і нам патрэбна матывацыя людзей, каб іх выяўляць; абнаўленняў бяспекі наогул не было б без намаганняў даследчыкаў бяспекі розных відаў. яблык плаціць да шасцізначнай сумы даследчыкам, якія выяўляюць слабыя месцы ў яго сістэмах.

Што будзе далей?

Наглядны орган ЕС па абароне дадзеных заклікаў забараніць выкарыстанне сумна вядомага праграмнага забеспячэння Pegasus ад NSO Group у пачатку гэтага года. Фактычна, заклік пайшоў далей, наўпрост патрабаваў «забараніць распрацоўку і разгортванне шпіёнскага ПЗ з магчымасцю Pegasus».

NSO Group зараз, відаць на продаж.

,en ЕС таксама сказаў што ў выпадку, калі такія эксплойты выкарыстоўваліся ў выключных сітуацыях, такое выкарыстанне павінна патрабаваць, каб такія кампаніі, як NSO, падвяргаліся нарматыўнаму кантролю. У рамках гэтага яны павінны паважаць заканадаўства ЕС, судовы перагляд, крымінальна-працэсуальныя правы і пагадзіцца не імпартаваць незаконныя разведданыя, не злоўжываць палітычнай дзейнасцю нацыянальнай бяспекі і падтрымліваць грамадзянскую супольнасць.

Іншымі словамі, гэтыя прадпрыемствы трэба прывесці ў адпаведнасць.

Што вы можаце зрабіць

Пасля выкрыццяў аб NSO Group у мінулым годзе, Apple апублікаваў наступныя рэкамендацыі па перадавой практыцы каб дапамагчы паменшыць такія рызыкі.

• Абнавіце прылады да апошняй версіі праграмнага забеспячэння, якое ўключае апошнія выпраўленні бяспекі.
• Абараніце прылады з дапамогай пароля.
• Выкарыстоўвайце двухфакторную аўтэнтыфікацыю і надзейны пароль для Apple ID.
• Усталёўваць apps з App Store.
• Выкарыстоўвайце надзейныя і унікальныя паролі ў Інтэрнэце.
• Не націскайце на спасылкі або ўкладанні ад невядомых адпраўнікаў.

Калі ласка, ідзіце за мной Twitter, або далучайцеся да мяне ў Бар і грыль AppleHolic і Абмеркаванне Apple групы на MeWe.