Šnipinėjimo programa veidrodyje: kaip suklastota „WhatsApp“ programėlė nusitaikė į „iOS“ naudotojus

Kiek esate tikri, kad ką tik atnaujinta programėlė yra būtent ta, apie kurią galvojate? Maždaug 200 naudotojų, daugiausia Italijoje, šis klausimas neseniai tapo kritiškai svarbiu realybės patikrinimu. Bendrovei „Meta“ priklausanti „WhatsApp“ neseniai žengė neįprastą žingsnį – įspėjo konkrečią asmenų grupę, kurie buvo apgauti ir įsidiegė suklastotą „iOS“ programėlės versiją, kurioje slapta buvo įdiegta sudėtinga šnipinėjimo programa.

Privatumo požiūriu šis incidentas yra griežtas priminimas, kad „Apple“ ekosistemos „aptvertas sodas“ nėra neįveikiamas. Nors kenkėjišką programinės įrangos diegimą iš šalies (angl. sideloading) dažnai siejame su „Android“, ši ataka pasinaudojo socialine inžinerija, kad apeitų standartinę „App Store“ apsaugą. Įdomu tai, kad dėl pasekmių „Meta“ ėmėsi teisinių ir techninių veiksmų prieš „Asigint“ – Italijos šnipinėjimo programinės įrangos įmonės SIO dukterinę įmonę, teigdama, kad būtent jie buvo šio skaitmeninio Trojos arklio architektai.

Socialinės inžinerijos spąstų anatomija

Per daugelį metų analizuodamas sudėtingas APT atakas pastebėjau, kad veiksmingiausi išpuoliai retai remiasi vien tik nulinės dienos (angl. zero-day) pažeidžiamumais; jie remiasi žmogaus psichologija. Šiuo atveju grėsmės sukėlėjams nereikėjo įsilaužti į „WhatsApp“ serverius. Vietoj to jie naudojo socialinės inžinerijos taktiką, kad įtikintų naudotojus atsisiųsti modifikuotą programėlės versiją.

Kitaip tariant, jei oficiali „WhatsApp“ yra saugi saugykla, šiems naudotojams buvo įteikta identiškai atrodanti saugyklos kopija, kurios galinėje dalyje buvo įmontuotos slaptos durys. Įdiegta kenkėjiška programėlė atrodė veikianti normaliai, tačiau užkulisiuose ji rinko jautrius duomenis ir stebėjo komunikaciją. Tai nebuvo plataus masto fisingo bandymas; tai buvo tiksli, tikslinė operacija.

Komercinių šnipinėjimo programų vaidmuo

Italijos įmonės, tokios kaip „Asigint“, įsitraukimas iškelia neskaidrų komercinio sekimo pasaulį į dienos šviesą. Šios bendrovės savo produktus dažnai pristato kaip įrankius teisėsaugos ir žvalgybos agentūroms – skaitmeninį kompasą, padedantį orientuotis šiuolaikinio nusikalstamumo sudėtingumuose. Tačiau kai šie įrankiai per suklastotas programėles naudojami prieš nieko neįtariančius naudotojus, riba tarp teisėto sekimo ir neteisėto įsibrovimo tampa pavojingai neryški.

Rizikos požiūriu tokios programinės įrangos egzistavimas sukuria nesaugią aplinką aktyvistams, žurnalistams ir net aukšto rango įmonių vadovams. Kai privati įmonė sukuria reikalavimų neatitinkančią saugaus pasiuntinio versiją, ji ne tik teikia paslaugą; ji aktyviai kenkia pasaulinės ryšių infrastruktūros vientisumui. Proaktyvus „Meta“ atsakas – paveiktų naudotojų atjungimas ir kūrėjų persekiojimas – yra būtina atsakomoji priemonė vis labiau įkyrioje aplinkoje.

Kodėl „iOS“ naudotojai nebuvo saugūs

Vyrauja klaidinga nuomonė, kad „iOS“ yra atspari kenkėjiškoms programoms dėl griežtos izoliacijos (angl. sandboxing) ir „uždaro“ „App Store“ pobūdžio. Nepaisant šių apsaugos priemonių, užpuolikai dažnai naudoja įmonės sertifikatus (angl. Enterprise Certificates) arba mobiliojo įrenginio valdymo (MDM) profilius, kad platintų programėles už oficialios parduotuvės ribų.

Iš esmės užpuolikai įtikina naudotoją pasitikėti nauju „profiliu“ savo įrenginyje, kuris veikia kaip raktas, leidžiantis įdiegti neautorizuotą programinę įrangą. Kai naudotojas spusteli „Leisti“, žmogaus ugniasienė būna pralaužta. Architektūriniu lygmeniu telefonas daro būtent tai, kas jam buvo liepta, net jei naudotojas iki galo nesuprato to leidimo pasekmių.

Duomenys kaip toksiškas turtas

Savo kolegoms dažnai sakau, kad su jautriais duomenimis turėtume elgtis kaip su uranu: jie yra neįtikėtinai vertingi, tačiau netinkamai tvarkomi arba nutekėję tampa toksišku turtu, galinčiu padaryti sisteminę žalą. 200 asmenų, į kuriuos buvo nusitaikyta šios kampanijos metu, jų asmeninės žinutės, kontaktai ir galbūt net buvimo vieta tapo našta.

Reguliavimo kontekste šis incidentas pabrėžia besitęsiančią kovą tarp galutinio šifravimo (angl. end-to-end encryption) ir „teisėtos prieigos“ poreikio. Nors „WhatsApp“ išlieka patikima, šifruota platforma, tas šifravimas tampa beprasmis, jei pati programėlė yra pažeista. Jei „galutiniame taške“ (jūsų telefone) veikia kenkėjiška programinės įrangos versija, duomenys užfiksuojami dar prieš juos užšifruojant perdavimui.

Teismo ekspertizės pėdsakų pamokos

Kaip žurnalistas, praleidęs daug laiko bendraudamas per „Signal“ ir PGP, kad apsaugočiau šaltinius, išsiugdžiau sveiką paranoją dėl programėlių vientisumo. Šis incidentas sustiprina kelis pagrindinius skaitmeninės higienos principus, kurie dažnai pamirštami vardan patogumo.

Galiausiai atsakomybė už saugumą yra daugialypė. Nors „Meta“ gali užtaisyti skyles savo kode ir panaikinti kenkėjišką infrastruktūrą, galutinis naudotojas lieka paskutine gynybos linija. Jei programėlė prašo atsisiųsti „specialią versiją“ iš svetainės, o ne iš oficialios parduotuvės, arba reikalauja įdiegti konfigūracijos profilį, tikėtina, kad susiduriate su besiformuojančia skaitmeninių įkaitų situacija.

Kaip apsaugoti savo skaitmeninį perimetrą

Jei nerimaujate dėl savo susirašinėjimo programėlių vientisumo arba įtariate, kad galite būti sudėtingo sekimo taikiniu, apsvarstykite šiuos veiksmus:

• Audituokite programėlių šaltinius: „WhatsApp“ ir kitas ryšio priemones atsisiųskite tik tiesiogiai iš oficialios „Apple App Store“ arba „Google Play Store“. Niekada nepasitikėkite nuoroda, atsiųsta SMS žinute ar el. paštu, kuri nukreipia į trečiųjų šalių atsisiuntimo svetainę.
• Patikrinkite konfigūracijos profilius: „iOS“ įrenginyje eikite į Nustatymai > Bendrieji > VPN ir įrenginių valdymas. Jei matote profilius, kurių neatpažįstate arba kurių neįdiegė jūsų darbdavys, nedelsdami juos pašalinkite.
• Įjunkite dviejų veiksmų patvirtinimą: Nors tai nesutrukdys suklastotai programėlei skaityti jūsų žinučių, tai suteikia papildomą atsparumo sluoksnį nuo neteisėto paskyros perėmimo.
• Stebėkite įrenginio elgseną: Neįprastas baterijos išsikrovimas, perkaitimas arba netikėtas duomenų naudojimas gali būti šnipinėjimo programoms būdingų slaptų fono procesų požymiai.
• Nuolat atnaujinkite: Įsitikinkite, kad jūsų operacinė sistema yra naujausios versijos. Atnaujinimų diegimas yra tarsi skylių lopymas laivo korpuse; tai nesustabdys audros, bet padės jums išsilaikyti paviršiuje.

Įsilaužimo atveju geriausia išeitis – gamyklinių parametrų atkūrimas ir visų svarbiausių slaptažodžių pakeitimas. Saugumas nėra galutinis tikslas, o nuolatinis tikrinimo procesas.

Šaltiniai

• „La Repubblica“ ir ANSA pranešimai apie Italijos šnipinėjimo programų taikinius.
• Oficialūs „Meta“/„WhatsApp“ pareiškimai dėl teisinių veiksmų prieš „Asigint“.
• Techninė „iOS“ kenkėjiškų programų platinimo per konfigūracijos profilius analizė.
• Viešai prieinami paslaugų aprašymai SIO ir „Asigint“ svetainėse.