Industri pengawasan sebagai layanan perlu dibawa ke tumit

Ini dia lagi: contoh lain dari pengawasan pemerintah yang melibatkan smartphone dari Apple dan Google telah muncul, dan ini menunjukkan betapa canggihnya serangan yang didukung pemerintah dan mengapa ada pembenaran untuk menjaga platform seluler tetap terkunci.

Apa yang telah terjadi?

Saya tidak bermaksud terlalu fokus pada berita tersebut, namun secara singkat adalah sebagai berikut:

• Grup Analisis Ancaman Google memiliki informasi yang dipublikasikan mengungkapkan peretasan.
• Perusahaan pengawasan Italia RCS Labs menciptakan serangan itu.
• Serangan itu telah digunakan di Italia dan Kazakhstan, dan mungkin di tempat lain.
• Beberapa generasi serangan dilakukan dengan bantuan dari ISP.
• Di iOS, penyerang menyalahgunakan alat sertifikasi perusahaan Apple yang memungkinkan penerapan aplikasi internal.
• Sekitar sembilan serangan berbeda digunakan.

Serangan itu bekerja seperti ini: Target dikirimi tautan unik yang bertujuan untuk mengelabui mereka agar mengunduh dan memasang aplikasi berbahaya. Dalam beberapa kasus, hantu bekerja dengan ISP untuk menonaktifkan konektivitas data untuk mengelabui target agar mengunduh aplikasi untuk memulihkan koneksi itu.

Eksploitasi zero-day yang digunakan dalam serangan ini telah diperbaiki oleh Apple. Sebelumnya telah diperingatkan bahwa aktor jahat telah menyalahgunakan sistemnya yang memungkinkan bisnis mendistribusikan apps di-rumah. Pengungkapan ini terkait dengan berita terbaru dari Lookout Labs tentang spyware Android kelas perusahaan yang disebut Hermit.

Apa risikonya?

Masalahnya di sini adalah bahwa teknologi pengawasan seperti ini telah dikomersialkan. Ini berarti kemampuan yang secara historis hanya tersedia untuk pemerintah juga digunakan oleh kontraktor swasta. Dan itu merupakan risiko, karena alat yang sangat rahasia dapat terungkap, dieksploitasi, direkayasa ulang, dan disalahgunakan.

As Google berkata: “Temuan kami menggarisbawahi sejauh mana vendor pengawasan komersial memiliki kemampuan yang berkembang biak secara historis hanya digunakan oleh pemerintah dengan keahlian teknis untuk mengembangkan dan mengoperasionalkan eksploitasi. Ini membuat Internet kurang aman dan mengancam kepercayaan yang menjadi sandaran pengguna.”

Tidak hanya itu, tetapi perusahaan pengawasan swasta ini memungkinkan alat peretasan berbahaya untuk berkembang biak, sambil memberikan fasilitas pengintaian berteknologi tinggi yang tersedia untuk pemerintah - beberapa di antaranya tampaknya menikmati memata-matai para pembangkang, jurnalis, lawan politik, dan pekerja hak asasi manusia. 

Bahaya yang lebih besar adalah bahwa Google sudah melacak setidaknya 30 pembuat spyware, yang menunjukkan industri pengawasan-sebagai-layanan komersial kuat. Ini juga berarti bahwa sekarang secara teoritis mungkin bagi pemerintah yang paling tidak kredibel untuk mengakses alat untuk tujuan seperti itu — dan mengingat begitu banyak ancaman yang teridentifikasi memanfaatkan eksploitasi yang diidentifikasi oleh penjahat dunia maya, tampaknya logis untuk berpikir bahwa ini adalah aliran pendapatan lain yang mendorong kejahatan. riset.

Apa risikonya?

Masalahnya: hubungan yang tampak dekat antara pemasok pengawasan yang diprivatisasi dan kejahatan dunia maya ini tidak akan selalu berjalan dalam satu arah. Eksploitasi tersebut—setidaknya beberapa di antaranya tampaknya cukup sulit untuk diketahui bahwa hanya pemerintah yang memiliki sumber daya untuk dapat melakukannya—pada akhirnya akan bocor.

Dan sementara Apple, Google, dan semua orang tetap berkomitmen pada permainan kucing-dan-tikus untuk mencegah kriminalitas seperti itu, menutup eksploitasi di mana mereka bisa, risikonya adalah bahwa setiap pintu belakang yang diamanatkan pemerintah atau kelemahan keamanan perangkat pada akhirnya akan tergelincir ke dalam komersial. pasar, dari mana ia akan mencapai yang kriminal.

Regulator Perlindungan Data Eropa memperingatkan: “Pengungkapan yang dibuat tentang spyware Pegasus menimbulkan pertanyaan yang sangat serius tentang kemungkinan dampak alat spyware modern pada hak-hak dasar, dan khususnya pada hak privasi dan perlindungan data.”

Itu tidak berarti tidak ada alasan yang sah untuk penelitian keamanan. Kelemahan ada dalam sistem apa pun, dan kami membutuhkan orang-orang untuk dimotivasi untuk mengidentifikasinya; pembaruan keamanan tidak akan ada sama sekali tanpa upaya dari berbagai jenis peneliti keamanan. apel membayar hingga enam digit kepada peneliti yang mengidentifikasi kerentanan dalam sistemnya.

Apa yang akan terjadi selanjutnya?

Pengawas perlindungan data Uni Eropa menyerukan larangan penggunaan perangkat lunak Pegasus NSO Group yang terkenal awal tahun ini. Bahkan, seruan itu melangkah lebih jauh, langsung mencari “larangan pengembangan dan penyebaran spyware dengan kemampuan Pegasus.”

NSO Group sekarang rupanya untuk dijual.

Grafik UE juga mengatakan bahwa jika eksploitasi tersebut digunakan dalam situasi luar biasa, penggunaan tersebut harus mengharuskan perusahaan seperti NSO untuk tunduk pada pengawasan peraturan. Sebagai bagian dari itu, mereka harus menghormati hukum Uni Eropa, tinjauan yudisial, hak prosedural kriminal dan setuju untuk tidak mengimpor intelijen ilegal, tidak ada penyalahgunaan politik keamanan nasional dan untuk mendukung masyarakat sipil.

Dengan kata lain, perusahaan-perusahaan ini perlu diselaraskan.

Apa yang bisa kamu lakukan

Menyusul pengungkapan tentang NSO Group tahun lalu, Apple menerbitkan rekomendasi praktik terbaik berikut untuk membantu mengurangi risiko tersebut.

• Perbarui perangkat ke perangkat lunak terbaru, yang mencakup perbaikan keamanan terbaru.
• Lindungi perangkat dengan kode sandi.
• Gunakan otentikasi dua faktor dan kata sandi yang kuat untuk ID Apple.
• Install apps dari App Store.
• Gunakan kata sandi yang kuat dan unik secara online.
• Jangan mengklik tautan atau lampiran dari pengirim yang tidak dikenal.

Silakan ikuti saya Twitter, atau bergabunglah dengan saya di Bar & panggangan AppleHolic dan Diskusi Apple grup di MeWe.