Amerykański WhatsApp vs. izraelski Pegasus (0:1)

Amerykański WhatsApp vs. izraelski Pegasus (0:1)

Dodano: 
Zdjęcie ilustracyjne
Zdjęcie ilustracyjne Źródło: Pixabay
Piotr Woyciechowski | | W ubiegłotygodniowym numerze brytyjskiej gazety codziennej „The Financial Times” (numer z dnia 15 maja), na pierwszej stronie redakcyjnej ukazał się artykuł poświęcony wykrytej luce w zabezpieczeniach najpopularniejszego na globie ziemskim darmowego komunikatora WhatsApp.

Z opublikowanego w alarmistycznym tonie tekstu zatytułowanego „WhatsApp hack allowed security spyware to loaded on phones” (Hakowany WhatsApp umożliwia instalowanie programów szpiegujących na telefon komórkowy) czytelnicy korzystający ze smartfonów dowiedzieli o kolejnej niebezpiecznej - dla zachowania w poufności danych przechowywanych na swych telefonach - luce bezpieczeństwa.

Dziennik „FT” poświęcił tej aferze pierwszą stronę redakcyjną i całą siódmą kolumnę gazety. W Polsce tematem na poważnie zajęły się praktycznie tylko branżowe portale (np. cyberdefence24.pl) i dość szybko zniknął z pola zainteresowania opinii publicznej. Nie mniej pojawiły się znaczące komentarze osób kompetentnych. Jak przykładowo ten wypowiedziany przez Wojciecha Gałażewskiego prezesa Check Point Software Technologies Poland, który słusznie zauważył, iż „wielu użytkowników błędnie uważa, że darmowe komunikatory skutecznie szyfrują połączenia”.

WhatsApp posiada obecnie ponad 1.5 miliarda aktywnych użytkowników. Od 2014 wchodzi w skład rodziny komunikatorów koncernu Facebook. W Polsce, aplikacja obok Facebook Messenger należy do najbardziej rozpowszechnionych komunikatorów. Praktycznie wszyscy ministrowie rządu Premiera Mateusza Morawickiego korzystają z WhatsApp na swych prywatnych lub służbowych telefonach. Więcej o tym problemie czytelnik może dowiedzieć się z mego artykułu „Polski rząd w pułapce WhastsApp”.

Czytaj też:
Polski rząd w pułapce WhatsApp’a

Luka w WhatsAppie

W opublikowanym w dzienniku „The Financial Times” artykule ujawniono, iż wykryta luka umożliwiała hakerom przejmowanie kontroli nad komunikatorem. Intruzi korzystając z funkcji połączeń głosowych WhatsApp, dzwonili do wybranego użytkownika. W momencie połączenia, na aparat ofiary ataku przesyłany był złośliwy pakiet (spyware). Według „FT” nawet jeśli połączenie nie zostało odebrane, złośliwe oprogramowanie i tak było instalowane na danym urządzeniu. Osoba, która nie odebrała połączenia mogła być nieświadoma, że miało ono w ogóle miejsce. Oprogramowanie kasowało je bowiem z listy ostatnich połączeń. Według dziennika za wykorzystywaniem tej luki i infekowaniem telefonów szpiegowskim oprogramowaniem stoi izraelski koncern informatyczny z branży cyberarms „NSO Group Technologies”. Twórca i właściciel sztandarowego produktu dedykowanego tajnym służbom - programu szpiegującego Pegasus. Zdaniem chcących zachować anonimowość ekspertów, opisany atak na WhtasApp miał wykorzystać luki w protokole wykorzystywanym do zestawienia połączeń głosowych. W przypadku WhatApp stosowany jest protokół WebRTC (Real Time Communications), obecny także w innych darmowych komunikatorach takich jak: Signal, Telegram czy Viber. Czas pokaże czy wskazana przyczyna problemu był trafna.

„The Financial Times” doniósł ponadto, że jako pierwszy lukę w zabezpieczeniach w aplikacji WhatsApp zidentyfikował zespół ds. cyberbezpieczeństwa koncernu. Producent miał powiadomić o poważnych wadach w zabezpieczeniach komunikatora w pierwszej kolejności Departament Sprawiedliwości USA, a w dalszej zainteresowanym podmiotom. W tym irlandzkiemu komisarzowi ochrony danych. Irlandia jest europejską siedzibą wielu amerykańskich firm technologicznych. W ramach regulacji UE dotyczących ochrony danych irlandzki urząd jest głównym regulatorem m.in. dla Facebooka, Twittera i Microsoftu.

To zaskakująca informacja. Dlaczego? Już bowiem w sierpniu ubiegłego roku, podobna (jeśli nie tożsama) luka w zabezpieczeniu komunikatora WhatsApp została wykryta przez inżynierów pracujących dla należącego do Google laboratorium Project Zero. Usterka miała zostać szybko usunięta przez producenta. Facebook zapewniał wówczas w komunikatach prasowych, że nie ma żadnych dowodów na to, by luka została wykorzystana przez hakerów, a jakikolwiek użytkownik aplikacji poniósł z tego tytułu szkody. Informacje o tym podano do publicznej wiadomości z dwumiesięcznym opóźnieniem. Aktualizacja aplikacji WhatsApp, która miała „załatać” usterkę pojawiła się dla Androida w końcu września, zaś dla iOS w początku października ubiegłego roku. Albo Facebook kłamał i usterki nie usnął, albo izraelscy hakerzy wykorzystali inną, nieznaną producentowi słabość WhatsAppa. Są też tacy, którzy twierdzą, iż podobne „nieszczelności” w systemie bezpieczeństwa celowo pozostawia się bez naprawy. Dlaczego? I czy taka sytuacja może mieć w ogóle miejsce? W tym miejscu odsyłam pragnącego zaspokoić swoją ciekawość czytelnika do lektury mego tekstu o darmowych komunikatorach.

Program Pegasus

NSO Group Technologies powstała w 2010 roku. Twórcami firmy były osoby powiązane w przeszłości instytucjonalnie z wywiadem izraelskim. Spółka obecnie zatrudnia około 500 osób, a jej siedziba mieści się w Herclijja w pobliżu Tel Aviv’u. W ubiegłym roku obroty spółki wyniosły ok. 251 mln. USD i stale rosną. NSO Group specjalizuje się w produktach służących realizacji zadań z zakresu cyberwywiadu i dedykowane są służbom specjalnym. Klientami firmy - jak przekonują jej władze - są wyłącznie rządy państw (w tym Polska).

Program Pegasus to aplikacja szpiegująca (spyware), która umożliwia zainfekowanie wielu modeli telefonów (w tym działających na systemach operacyjnych Adroid i iOS) oraz niejawną kontrolę wszystkich przetwarzanych na nich informacji. Może podsłuchiwać rozmowy, czytać zaszyfrowane czaty czy zbierać dane o lokalizacji lub dźwięki z otoczenia. Robi to przy kompletnej nieświadomości użytkownika telefonu. Program potrafi przejąć kontrolę nad mikrofonem, kamerą urządzenia oraz umożliwia monitoring otoczenia smartfona.

Pegasus ma dostęp do treści wiadomości tekstowych SMS, e-maili, haseł oraz może zbierać informacje z aplikacji, w tym: iMessage, Gmail, Viber, Facebook, WhatsApp, Telegram, i Skype. Program zdolny jest przejąć także kontrolę przykładowo nad klawiaturą, programem rozpoznawania mowy i konwertowania wypowiadanych słów na tekst.

Z jego użyciem można także dowolnie modyfikować ustawienia urządzenia, jak i śledzić lokalizację użytkownika. Do zainfekowania urządzenia może dojść np. poprzez kliknięcie w odpowiednio spreparowany i podesłany ofierze link (tzw. link exploita) lub za pomocą połączenia VoIP, podczas którego transmitowane jest złośliwe oprogramowanie.

Program Pegasus działa w co najmniej w 45 krajach. W tym w Polsce. Według doniesień prasowych program zakupiło CBA.

Państwa, na których terenie Citizen Lab wykrył aktywnoś  programu Pegasus

Z działaniem Pegasusa powiązano 1091 adresów IP i 1014 nazw domen. W użyciu jest 36 różnych systemów szpiegujących z Pegasusem, z których każdy może mieć własnego operatora (w Polsce zidentyfikowano operatora o nazwie „Orzeł Biały”).

Fragment Raportu Citizen Lab: „HIDE AND SEEK - Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries”

We wrześniu 2018 roku organizacja Citizen Lab opublikowała raport na temat właściwości i aktywności programu Pegasus na świecie. Citizen Lab to renomowany pozarządowy ośrodek badawczy utworzony na Uniwersytecie w Toronto. Spyware Pegasus jest w zainteresowaniu tej organizacji od 2016 roku, kiedy to szpiegujące oprogramowanie zostało wykryte po nieudanej próbie zainstalowania go na iPhonie, należącym do Ahmeda Mansoor’a przedstawiciela arabskiej organizacji obroń praw człowieka. Mansoor otrzymał od anonimowej osoby wiadomość tekstową dotyczącą domniemanych dowodów na tortury stosowane wobec więźniów w Zjednoczonych Emiratach Arabskich wraz z linkiem do strony www. Nieufny wobec tej wiadomości i obawiając się prowokacji, Mansoor przekazał link do Citizen Lab. W wyniku śledztwa informatycznego okazało się, że kliknięcie na link spowodowałoby dyskretne zainstalowanie na urządzeniu mobilnym programu typu spyware. Citizen Lab powiązała ten atak z izraelską firmą NSO Group.

Polityczne wykorzystanie Pegasusa?

Organizacja alarmuje, że program Pegasus może być wykorzystywany do celów politycznych. W swoim ubiegłorocznym raporcie badacze przytaczają przypadek z 2016 roku, do którego doszło w Meksyku. Zdaniem Citizen Lab za pomocą Pegasusa szpiegowano wówczas dziesiątki osób zaangażowanych w działania o charakterze opozycyjnym, a także dziennikarzy, prawników, obrońców praw człowieka i działaczy antykorupcyjnych. Sprawa wywołała międzynarodowy skandal, ale wykorzystywanie Pegasusa w Meksyku trwa– według Citizen Lab w kraju tym wciąż aktywnie działa trzech operatorów tego oprogramowania.

Izraelczycy mieli sprzedać także program do Arabii Saudyjskiej. W anglojęzycznej prasie powiały się artykuły zarzucające służbo specjalnym Zjednoczonego Królestwa wykorzystywanie Pegasusa do inwigilacji publicysty „The Washington Post” - Jamala Ahmada Khashoggi ‘ego. Ten saudyjski dysydent został zamordowany w październiku 2018 roku na terenie Konsulatu saudyjskiego w Stambule. Jego ciało poćwiartowano i następnie wywieziono z terenu placówki dyplomatycznej. Światowa opinia publiczna uznała zabójstwo Khashoggi ‘ego za mord polityczny.

O mankamentach szyfrowanego komunikatora WhatsApp napisałem w detalach w przywołanym już wcześniej artykule „Polski rząd w pułapce WhatsAppa”. Opisując funkcjonalności komunikatora podkreśliłem, że aplikacja nie zabezpiecza użytkownika smartfona przed działaniem złośliwego oprogramowania (typu malware). Komunikator mimo szyfrowania połączeń typu end-to-end na dobrym poziomie, nie jest wstanie wykryć działających na urządzeniu procesów typu root (dla systemu operacyjnego Android) oraz jailbreak (dla iPhonów). Wymienione procesy usuwają ograniczenia narzucone przez producentów w systemach operacyjnych oraz umożliwiają pełny dostęp do urządzenia i przejęcie nad nim kontroli. Takie właściwości posiadają właśnie aplikacje typu spyware.

Ponadto, Whatsapp nie posiada funkcjonalności związanych z zapewnieniem „szczelności” („czystości”) wykonywanych przez użytkownika połączeń. Komunikator w momencie nawiązywania połączenia głosowego lub wysyłania wiadomości nie odcina mikrofonu, kamery i głośnika od pozostałych aplikacji działających na urządzeniu, które posiadają uprawnienia do zarządzania nimi. Programy spyware przejmują kontrolę nad mikrofonem i w ten sposób podsłuchują rozmowę telefoniczną użytkownika podczas korzystania z aplikacji WhatsApp. Komunikator także nie szyfruje przechowywanych na urządzeniu wysyłanych i otrzymanych załączników. Katalogi (np. WhtasApp Imeges, WhatsApp Video, WhatsApp Animated, itd), w których aplikacja przechowuje pliki dostępne są dla programów typu spyware i mogą być wykradzione. Szyfrowanie wiadomości tekstowych przez Whatsapp musi się odbywać naprawdę na słabym poziomie, skoro FBI posługując się podstawowymi narzędziami informatycznymi, odzyskała prawie 270 tyś. informacji (w tym przesyłanych przez Signal) z przejętych od Michaela Cohena – bliskiego współpracownika i doradcy prawnego Prezydenta Donalda Trumpa – dwóch telefonów. Michael Cohen miał płacić Stormy Daniels za milczenie o jej domniemanym romansie z prezydentem Donaldem Trumpem. Odzyskane wiadomości WhatsApp posłużyły prokuraturze do sformułowania wobec Cohena zarzutów karnych.

Po pierwsze bezpieczeństwo

Czy użytkownicy popularnego komunikatora są w takim razie całkowicie bezbronni wobec działania programów spyware? Oczywiście, że nie. W dużym stopniu poziom bezpieczeństwa zależy od samego zainteresowanego. Warunkiem jednak jest rezygnacja ze swoich przyzwyczajeń i skłonności do bezkrytycznego korzystania z darmowych szyfrowanych komunikatorów oraz przestrzegania zasad „bhp” w codziennym posługiwaniu się smartfonem.

Na marginesie warto przytoczyć wyniki miarodajnych badań przeprowadzonych wśród polskich użytkowników smartfonów. Na pytanie czy zabezpieczasz swój smartfon jakimkolwiek oprogramowaniem antywirusowym: 6% odpowiedziało, że tak, 13% nie wiem, i aż 81% odpowiedziało – nie. Ta sama próba respondentów na pytanie gdzie przechowujesz najważniejsze swoje dane, odpowiedziała: 55% - na swoim telefonie (sic!); 21% - na komputerze; 11% - w pamięci przenośnej; 8% - w chmurze obliczeniowej oraz 5% - na innych urządzeniach. Z kolei według przeprowadzonych przez firmę Security Twist badań - 90% naszych haseł, można złamać w ciągu 6 godzin. Taką „siłę” mają konfigurowane przez nas hasła do urządzeń mobilnych i komputerów. Zatrważające.

Na pewno należy zdecydować się na komunikatory szyfrujące oferowane na rynku komercyjnym. Pamiętajmy, że producenci darmowych komunikatorów ogałacają nas z anonimowości i zarabiają na naszych metadanych. W przypadku komunikatorów komercyjnych płacimy dostawcy za zagwarantowanie nam anonimowości w sieci oraz za rezygnację z przetwarzania (archiwizowania) przez producenta naszych metadanych. W świetle opisanej przez „FT” metody ataku na Whatsapp podczas poszukiwania odpowiadającej nam aplikacji winniśmy zwracać uwagę na poziom zabezpieczenia i „siłę” szyfrowania archiwum wiadomości (w tym załączników) przechowywanych na urządzeniu mobilnym oraz na możliwość wychwytywania aktywności programów typu malware na smartfonie użytkownika.

W cytowanej już publikacji „Polski rząd w pułapce WhatsAppa” rekomendowałem czytelnikom dwa rozwiązania: szwajcarską Threema i polski UseCrypt Messenger. Obie aplikacje zapewniają wysoki poziom bezpieczeństwa danych przechowywanych w archiwum wiadomości na urządzeniu mobilnym oraz „mocne” szyfrowanie połączeń typu end-to-end. Według zapewnień obu producentów wykradzenie przez złośliwe oprogramowanie spyware danych z zaszyfrowanego archiwum jest praktycznie niemożliwe. Threema w większym stopniu niż UseCrypt zapewnia anonimowość w sieci. W przeciwieństwie do UseCrypt Messenger, szwajcarska aplikacja nie wymaga podania numeru telefonu komórkowego podczas aktywacji komunikatora. W Polsce od dwóch lat obowiązuje restrykcyjne prawo, które wymaga rejestrowania danych osobowych klientów każdego operatora sieci telefonii komórkowej.

Z kolei jeśli chodzi o stały monitoring smartfona pod kątek aktywności procesów jailbreak/root brak jest informacji dostawcy komunikatora Threema o posiadaniu tej funkcjonalności. Możliwe, że Threema taki poziom bezpieczeństwa zapewnia. W przypadku UseCrypt Messenger producent w oficjalnych dokumentach gwarantuje, że komunikator na bieżąco i skutecznie monitoruje powyższe procesy oraz odcina podczas korzystania z komunikatora wszystkim innym aplikacjom (w tym także typu spyware) dostęp do mikrofonu, kamery i głośnika. Producent zapewnia ponadto, że w przypadku zidentyfikowania procesów jailbreak/root na urządzeniu mobilnym program Usecrypt Messenger natychmiast wyświetli komunikat o niebezpieczeństwie oraz uniemożliwi wykonanie połączenia (aplikacja zostaje zamknięta).

Truizmem jest stwierdzenie, iż trwa ciągły wyścig pomiędzy producentami bezpiecznych komunikatorów a hakerami. Szczególnie tymi, którzy zostali zatrudnieni przez agencje rządowe, w celu zapewnienia służbom specjalnym dyskretnego dostępu do przesyłanych wiadomości. Ujawniona przez „The Financial Times” afera związana ze skutecznym hakowaniem darmowego WhatsAppa przez izraelski spyware Pegasus dowodzi, że o krok w tym wyścigu prowadzą hakerzy. I bez znaczenia jest, czy w tym wypadku ich działalność ma charakter czysto biznesowy, szpiegowski, czy też mieszany (łączący obie właściwości). Istotą jest to, że WhatsApp ze względu na cieszącą się gigantyczną popularnością w świecie - jest i będzie w najbliższej przyszłości stałym oraz bardzo ważnym celem cyberataków. Jak widać do tej pory skutecznych. O tym, nasz establishment polityczny powinni pamiętać i wyciągać wnioski.

Piotr Woyciechowski

Twitter: @PiotrW1966

W pierwotnej wersji artykułu omyłkowo usunięto jeden z fragmentów. Prezentujemy pełną treść artykułu.

Źródło: DoRzeczy.pl
Czytaj także