Puhelimesi hakkeroidaan huomaamattasi

Puhelimesi voidaan hakkeroida täysin huomaamattasi – yleistyviä hyökkäyksiä ei voi pysäyttää mitenkään

Klikitön hyökkäys jää onnistuessaan huomaamatta jopa tietoturvatutkijalta, eikä käyttäjä voi tehdä paljoakaan suojautuakseen sellaiselta.

Vakoilun uhka. Pegasus-vakoiluohjelma voi iskeä periaatteessa kenen tahansa puhelimeen. Käytännössä uhka kohdistuu merkittävässä asemassa toimiviin henkilöihin.
Vakoilun uhka. Pegasus-vakoiluohjelma voi iskeä periaatteessa kenen tahansa puhelimeen. Käytännössä uhka kohdistuu merkittävässä asemassa toimiviin henkilöihin.

Tietoturvauutisten otsikoihin on viime aikoina noussut israelilaisen NSO Groupin kehittämä Pegasus-vakoiluohjelma, jonka käyttäjä voi vakoilla uhrinsa puhelinta huomaamatta. Yleensä haittaohjelmat asentuvat sähköpostiviestin mukana lähetettävän linkin tai liitetiedoston kautta, mutta Pegasuksen ei tarvitse harhauttaa uhriaan tällä tavoin.

NSO ja liuta muita vastaavia vakoiluohjelmia kehittäviä yrityksiä myy niin kutsuttuja klikittömiä hyökkäyksiä (engl. zero-click attack) ennen kaikkea valtiollisille toimijoille, jotka voivat maksaa miljoonia päästäkseen vakoilemaan vihollisvaltion merkkihenkilöitä tai esimerkiksi vakoilijavaltiota kritisoivia journalisteja. Valtion budjetissa pari miljoonaa ei ole suuri hinta, jos vakoilusta saatava hyöty on merkittävä.

Periaatteessa hyökkäyksen kohteeksi voi joutua kuka vain. Tavallisen kansalaisen joutuminen hyökkäyksen kohteeksi on kuitenkin hyvin epätodennäköistä. Kohteeksi joutuneet ovat useimmiten aktivisteja, journalisteja, poliitikkoja sekä virka- ja liikehenkilöitä.

Bloomberg kuvaa pitkässä reportaasissaan klikittömien hyökkäysten toimintaa ja on haastatellut arabitoimittaja Rania Dridiä, jonka puhelinta vakoiltiin Pegasus-haittaohjelmalla.

LUE MYÖS:

EU tiukkana kansalaistensa turvallisuudesta: israelilainen vakoiluhirviö pysäytettävä

Onnistunutta hyökkäystä ei huomaa kukaan

Hakkerit ujuttavat Pegasuksen uhrin puhelimeen käyttöjärjestelmästä löytyvän tietoturva-aukon kautta. Tällaisia aukkoja löytyy jatkuvasti uusia ja valmistajat – kuten Apple ja Google – paikkaavat löytyneitä aukkoja säännöllisesti. Siksi hyökkäyksen kohteeksi voi joutua myös valveutunut uhri, joka osaa varoa tuntemattomalta taholta tulleiden viestien linkkejä ja liiketiedostoja.

Kun vakoiluohjelma on saatu ujutettua uhrin puhelimeen, sen avulla voidaan varastaa dataa, kuunnella puheluita, seurata uhrin sijaintia, nauhoittaa ääntä tai videota sekä lukea tekstiviestejä ja sähköposteja.

Tietoturvayhtiö Citizen Labin tutkija Bill Marczak kertoo Bloombergille, ettei klikitön hyökkäys onnistuessaan jätä minkäänlaisia jälkiä uhrin laitteeseen. Siispä vain tavalla tai toisella epäonnistunut hyökkäys voidaan havaita. Toimittaja Rania Dridin vakoilu kävi ilmi työnantajan it-henkilöstön havaittua epäilyttävää toimintaa yrityksen tietoverkoissa. Jäljet johtivat lopulta Dridin iPhone XS Max -puhelimeen. Hyökkäyksen taustalla oli Citizen Labin mukaan todennäköisesti Arabiemiirikuntien hallitus.

Googlen tietoturvatutkijat analysoivat joulukuussa NSO Groupin kehittämän iPhone-hyökkäyksen, jossa uhrille lähetettiin haittaohjelman sisältävä gif-tiedosto iMessage-viestipalvelun kautta. Uhri ei siis voinut hyökkäykselle mitään, sillä hän ei voi estää palvelua toimittamasta viestiä puhelimeensa. Viesti katosi heti saavuttuaan puhelimeen, joten vastaanottaja ei edes huomaa saaneensa epäilyttävää viestiä.

Hyökkäyksiä tehdään iOS:n lisäksi myös muihin käyttöjärjestelmiin, kuten Androidiin.

Israelilainen Paragon-yhtiö markkinoi teknologiansa pystyvän murtautumaan jopa WhatsAppin ja Signalin salattuihin viesteihin. Yhtiö on Bloombergin haastattelemien entisten työntekijöiden mukaan markkinoinut tuotettaan eurooppalaisille ja pohjoisamerikkalaisille hallituksille.

LUE MYÖS:

Israelin poliisia epäillään luvattomasta kuuntelusta Pegasus-vakoiluohjelmalla – taustalla maan entisen pääministerin korruptioepäilyt

Hyökkäysten takana on kasvava toimiala

Klikittömiin hyökkäyksiin tarvittavaa teknologiaa myyvät useat israelilaisyritykset, joista tunnetuin ja merkittävin on NSO Group. Hyökkäysten lukumäärää on vaikea arvioida, sillä hyökkäykset tehdään salassa eivätkä uhrit useinkaan tiedä, että heitä vakoillaan. Hyökkäykset ovat kuitenkin yleistyneet selvästi vuodesta 2017 alkaen.

NSO itse kertoo myyvänsä teknologiaansa vain valtioille ja viranomaisille terroristien ja rikollisten jäljittämiseen. Yhdysvallat asetti yrityksen mustalle listalle marraskuussa 2021.

Teknologian kehittäjien lisäksi markkinoilla on yrityksiä, jotka maksavat hakkereille palkkioita haavoittuvuuksien raportoinnista. Palkkioiden suuruus on satojatuhansia tai jopa miljoonia dollareita. Sen jälkeen yhtiöt myyvät haavoittuvuustiedot eteenpäin hallituksille, jotka käyttävät niitä vakoiluohjelmien asentamiseen.

LUE MYÖS:

IPhonen legendaarinen turvallisuus romuttui – taas yksi yhtiö, joka korkkaa puhelimia tuosta vaan

Suojautuminen miltei mahdotonta

Klikittömältä hyökkäykseltä on vaikea suojautua, sillä käyttäjän ei omalla hölmöilyllään tarvitse päästää vakoiluohjelmaa laitteeseensa. Ainoa pätevä suojautumiskeino on tietoturvapäivitysten asentaminen ajallaan. Citizen Labin tutkija Bill Marczak muistuttaa, että esimerkiksi pikaviestipalveluista luopuminen voi vaikeuttaa käyttäjän elämää kohtuuttomasti, vaikka se parantaisikin tietoturvaa.

Vuonna 2019 WhatsAppin emoyhtiö Facebook (nykyisin Meta) haastoi NSO Groupin oikeuteen Pegasus-vakoiluohjelman asentamisesta 1400 WhatsApp-käyttäjän puhelimeen.

Myös Pegasus-hyökkäyksen kohteeksi joutunut Rania Dridi kertoi joutuneensa poistamaan someprofiilejaan hyökkäyksen jälkeen. Hän kertoo tämän vaikeuttaneen elämää huomattavasti, sillä tuen saaminen oli hankalaa.

LUE MYÖS

Puolan hallinto vakavien syytösten kohteena – käytettiinkö israelilaista vakoiluohjelmaa opposition tarkkailuun?

Israel rajoittaa vakoiluohjelmiensa myyntiä – liittolaiset ärähtivät urkkimisesta

Suomalaiset diplomaatit ovat joutuneet kybervakoilun kohteeksi – taustalla pelätty haittaohjelma

LÄHDE: TIVI/Antti Kallio 21.02.2022