Övervakning-som-en-tjänst-branschen måste ställas i väg

Här går vi igen: ytterligare ett exempel på statlig övervakning som involverar smartphones från Apple och Google har dykt upp, och det visar hur sofistikerade regeringsstödda attacker kan bli och varför det är motiverat att hålla mobila plattformar helt låsta.

Vad har hänt?

Jag tänker inte fokusera för mycket på nyheterna, men i korthet är det följande:

• Googles hotanalysgrupp har publicerade information som avslöjar hacket.
• Det italienska övervakningsföretaget RCS Labs skapade attacken.
• Attacken har använts i Italien och Kazakstan, och möjligen på andra håll.
• Vissa generationer av attacken utövas med hjälp av internetleverantörer.
• På iOS missbrukade angripare Apples certifieringsverktyg för företag som möjliggör intern appdistribution.
• Runt nio olika attacker användes.

Attacken fungerar så här: Målet skickas en unik länk som syftar till att lura dem att ladda ner och installera en skadlig app. I vissa fall arbetade spöken med en ISP för att inaktivera dataanslutning för att lura mål att ladda ner appen för att återställa den anslutningen.

Zero-day exploits som används i dessa attacker har fixats av Apple. Det hade tidigare varnat för att dåliga skådespelare har varit missbrukar sina system som låter företag distribuera apps internt. Avslöjandena hänger ihop med de senaste nyheterna från Lookout Labs om spionprogram för företagsklassigt Android som heter Hermit.

Vad är i fara?

Problemet här är att övervakningstekniker som dessa har kommersialiserats. Det betyder att funktioner som historiskt sett bara varit tillgängliga för regeringar också används av privata entreprenörer. Och det utgör en risk, eftersom mycket konfidentiella verktyg kan avslöjas, utnyttjas, omvändas och missbrukas.

As Google sa: "Våra resultat understryker i vilken utsträckning kommersiella övervakningsleverantörer har spridit sig kapacitet som historiskt bara använts av regeringar med teknisk expertis för att utveckla och operationalisera exploateringar. Detta gör internet mindre säkert och hotar det förtroende som användarna är beroende av.”

Inte bara detta, utan dessa privata övervakningsföretag gör det möjligt för farliga hackningsverktyg att spridas, samtidigt som de ger dessa högteknologiska snoopningsmöjligheter tillgängliga för regeringar – av vilka några verkar njuta av att spionera på dissidenter, journalister, politiska motståndare och människorättsarbetare. 

En ännu större fara är att Google redan spårar minst 30 spionprogramtillverkare, vilket tyder på att den kommersiella övervakningen-som-en-tjänst-branschen är stark. Det betyder också att det nu är teoretiskt möjligt för även den minst trovärdiga regeringen att få tillgång till verktyg för sådana ändamål – och med tanke på att så många av de identifierade hoten använder sig av utnyttjande som identifierats av cyberbrottslingar, verkar det logiskt att tro att detta är en annan inkomstström som uppmuntrar skadlig forskning.

Vad är riskerna?

Problemet: dessa nära till synes kopplingar mellan leverantörer av privatiserad övervakning och cyberbrottslighet kommer inte alltid att fungera i en riktning. Dessa bedrifter – av vilka åtminstone några verkar vara tillräckligt svåra för att upptäcka att endast regeringar skulle ha resurserna för att kunna göra det – kommer så småningom att läcka.

Och även om Apple, Google och alla andra förblir engagerade i ett katt-och-råtta-spel för att förhindra sådan kriminalitet, och stänger exploateringar där de kan, är risken att eventuella säkerhetsbrister på bakdörren eller enheten på uppdrag av myndigheter så småningom kommer att glida in i den kommersiella marknader, varifrån den kommer att nå de kriminella.

Europas dataskyddstillsynsmyndighet varnade: "Avslöjanden om Pegasus spionprogram väckte mycket allvarliga frågor om den möjliga inverkan av moderna spionprogramverktyg på grundläggande rättigheter, och särskilt på rätten till integritet och dataskydd."

Därmed inte sagt att det inte finns legitima skäl för säkerhetsforskning. Det finns brister i alla system, och vi behöver människor som är motiverade att identifiera dem; säkerhetsuppdateringar skulle inte existera alls utan insatser från säkerhetsforskare av olika slag. Äpple betalar upp till sexsiffriga till forskare som identifierar sårbarheter i dess system.

Vad händer härnäst?

EU:s dataskyddsansvarige efterlyste ett förbud mot användningen av NSO Groups ökända Pegasus-programvara tidigare i år. I själva verket gick samtalet längre, direkt efter ett "förbud mot utveckling och distribution av spionprogram med Pegasus kapacitet."

NSO Group är nu tydligen till salu.

Smakämnen EU sa också att i händelse av att sådana exploateringar användes i exceptionella situationer, bör sådan användning kräva att företag som NSO utsätts för tillsyn av lagstiftningen. Som en del av detta måste de respektera EU-lagar, domstolsprövning, straffrättsliga processuella rättigheter och gå med på att inte importera olaglig underrättelseverksamhet, inget politiskt missbruk av nationell säkerhet och att stödja det civila samhället.

Med andra ord måste dessa företag anpassas.

Vad kan du göra

Efter avslöjanden om NSO Group förra året, Apple publicerade följande rekommendationer om bästa praxis för att motverka sådana risker.

• Uppdatera enheter till den senaste programvaran, som inkluderar de senaste säkerhetskorrigeringarna.
• Skydda enheter med ett lösenord.
• Använd tvåfaktorsautentisering och ett starkt lösenord för Apple-ID.
• installera apps från App Store.
• Använd starka och unika lösenord online.
• Klicka inte på länkar eller bilagor från okända avsändare.

Vänligen följ mig vidare Twitter, eller gå med mig i AppleHolics bar & grill och Apple-diskussioner grupper på MeWe.