Az Apple november 23-án közzétett sajtóközleményében bejelentette, hogy beperelte a Pegasus kémszoftvert készítő NSO Groupot, hogy ezzel is lépéseket tegyen az államilag finanszírozott kémkedések ellen. A cég a per elindítása mellett az esetlegesen érintett felhasználókat is értesíti emailben, iMessage-ben, illetve az appleid.apple.com oldalon való bejelentkezéskor is, felsorolva, hogy mit tehetnek ilyen esetben.

Az értesítésekről és az ilyen esetben javasolt, valamint általánosságban a megelőzést segítő teendőkről egy külön támogatási dokumentumban részletesebben is ír az Apple. A per ugyanakkor felveti annak a kérdését is, hogy vajon lesz-e mindennek negatív hatása a biztonsági kutatók és például a jailbreaket fejlesztők számára is, vagyis adott esetben teremthet-e olyan precedenst az ügy, ami utána perrel fenyegethet bárkit, aki erre a területre téved. Nézzük, mit ír a sajtóközlemény, illetve az új támogatási dokumentum!

A sajtóközlemény

Az Apple beperelte az NSO Groupot és annak anyacégét, a Q Cyber Technologies-t, hogy felelősségre vonják őket az Apple felhasználók célba vétele és megfigyelése miatt. A beadott kereset új információkat tartalmaz azzal kapcsolatban, hogy az NSO Group hogyan fertőzte meg az áldozatok készülékeit a Pegasus kémszoftverrel. A jövőbeni visszaélések és a felhasználók további megkárosításának megelőzése érdekében az Apple egyúttal egy tartós végzést is kér, amely megtiltja az NSO Group számára az Apple szoftvereinek, szolgáltatásainak vagy készülékeinek használatát.

Az NSO Group kifinomult, államilag finanszírozott megfigyelési technológiát fejleszt, amely lehetővé teszi, hogy a pontosan célzott kémszoftverükkel képesek legyenek megfigyelni az áldozataikat. Ezek a támadások csak a felhasználók egy nagyon kis részét célozzák meg, és több platformon, köztük az iOS és az Android esetén is hatással vannak az emberekre. A kutatók és az újságírók nyilvánosan is dokumentálták, hogy a kémprogrammal visszaélve újságírókat, aktivistákat, disszidenseket, akadémikusokat és kormánytagokat is megfigyeltek.

“Az olyan, államilag finanszírozott szereplők, mint az NSO Group dollármilliókat költenek kifinomult megfigyelési technológiák fejlesztésére tényleges elszámoltathatóság nélkül. Ennek változnia kell.” – mondta Craig Federighi, az Apple szoftverfejlesztésért felelős alelnöke. “Az Apple készülékei a legbiztonságosabb eszközök a fogyasztói piacon – de az államilag finanszírozott kémprogramokat fejlesztő magáncégek még veszélyesebbekké váltak. Noha ezek a kiberbiztonsági fenyegetések csak ügyfeleink nagyon kis részét érintik, nagyon komolyan veszünk minden, a felhasználóink elleni támadást, és folyamatosan azon dolgozunk, hogy megerősítsük az iOS biztonságát és adatvédelmét, hogy minden felhasználónk biztonságban legyen.”

Az NSO Group FORCEDENTRY exploitja

Az Apple keresete új információkkal szolgál az NSO Group FORCEDENTRY névre keresztelt, egy, időközben már kijavított sebezhetőséget kihasználó exploitjáról, amelyet korábban az áldozatok Apple készülékeibe való betörésre, és az NSO Group kémszoftverének, a Pegasus legfrissebb verziójának a telepítésére használtak. Az exploitot először a Citizen Lab, a Torontói Egyetem kutatócsoportja azonosította.

Az NSO Group és ügyfelei a nemzetállamok hatalmas erőforrásait és képességeit felhasználva pontosan célzott kibertámadásokat hajtanak végre, lehetővé téve számukra a mikrofon, a kamera és más érzékeny adatok elérését az Apple vagy az androidos készülékeken. A FORCEDENTRY exploit célba juttatásához a támadók Apple ID-kat hoztak létre, hogy kártékony adatot küldhessenek az áldozat készülékére – lehetővé téve az NSO Group számára a Pegasus kémprogram telepítését a felhasználó tudta nélkül. Noha az Apple szervereivel visszaéltek a FORCEDENTRY célba juttatásához, a szervereket nem törték fel, és nem is veszélyeztették őket a támadások során.

Az Apple készíti a piacon elérhető legbiztonságosabb mobil eszközöket, és folyamatosan be is fektet a felhasználók adatvédelmének és biztonságának megerősítésébe. A kutatók azt találták, hogy más mobil platformok esetén legalább 15-ször nagyobb a kártékony szoftverekkel való fertőzöttség, mint az iPhone-ok esetén, és egy friss tanulmány pedig azt mutatta, hogy a mobil eszközökre szánt malware-eknek kevesebb mint 2%-a célozza csak meg az iOS-t futtató készülékeket.

Az iOS 15 számos új, biztonsági védelmet tartalmaz, köztük jelentős fejlesztéseket a BlastDoor biztonsági mechanizmus esetén. Noha az NSO Group kémprogramja továbbra is fejlődik, az Apple nem látott semmi bizonyítékot arra, hogy a legalább iOS 15-öt futtató eszközök ellen sikeres, távoli támadást hajtottak volna végre. Az Apple minden felhasználója számára azt javasolja, hogy mindig tartsa naprakészen a készüléke szoftverének verzióját.

“Az Apple-nél folyamatosan azon dolgozunk, hogy megvédjük a felhasználóinkat még a legösszetettebb kibertámadások ellen is. A mai lépésünk világos üzenetet fog küldeni: egy szabad társadalomban elfogadhatatlan államilag finanszírozott kémprogramok bevetése olyanok ellen, akik jobbá szeretnék tenni a világot.” – mondta Ivan Krstić, az Apple biztonsági fejlesztéseiért felelős vezetője. “A fenyegetésekkel foglalkozó mérnöki csapataink éjjel-nappal dolgoznak az új fenyegetések elemzésén, a sebezhetőségek gyors befoltozásán, és az iparágban vezető védelem fejlesztésén, mind a szoftvereink, mind a processzoraink esetén. Az Apple üzemelteti a világ egyik legkifinomultabb biztonságtechnikai tevékenységét, és továbbra is fáradhatatlanul fogunk dolgozni azon, hogy megvédjük felhasználóinkat az olyan, államilag szponzorált szereplők visszaéléseitől, mint az NSO Group.”

Az Apple folyamatos erőfeszítései a felhasználói védelme érdekében

Az Apple elismerését fejezi ki a megfigyelési visszaélések azonosításában és az áldozatok védelmében végzett úttörő munkájukért az olyan csoportoknak, mint a Citizen Lab és az Amnesty Tech. Az ehhez hasonló erőfeszítések további megerősítésére az Apple 10 millió dollárral, és a perből eredő kártérítéssel járul hozzá a megfigyelésekkel kapcsolatos kutatást és érdekképviseletet folytató szervezetek munkájához.

Az Apple a Citizen Lab kiváló kutatóit pro-bono módon műszaki, fenyegetésekkel kapcsolatos és mérnöki segítségnyújtással is támogatja független kutatási küldetésük elősegítése érdekében, és adott esetben ugyanezt a segítséget nyújtja más, ezen a területen kritikus munkát végző szervezeteknek is.

“Az olyan, kémprogram fejlesztő cégek, mint az NSO Group a világ néhány legsúlyosabb emberi jogi visszaélését és emberek nemzeteken átívelő elnyomását segítették elő, miközben saját magukat és befektetőiket gazdagították.” – mondta Ron Deibert, a Citizen Lab igazgatója. “Elismerésem az Apple-nek, amiért felelősségre vonja őket a visszaéléseikért, és remélem, hogy az Apple segít ezzel igazságot szolgáltatni mindazoknak, akik áldozatául estek az NSO Group vakmerő viselkedésének.”

Az Apple értesíti azokat a felhasználót, akikről felfedezte, hogy a FORCEDENTRY célpontjai lehettek. Minden alkalommal, amikor az Apple olyan tevékenységet észlel, amely megfelel egy államilag támogatott kémprogram-támadásnak, az Apple értesíti az érintett felhasználókat az iparág legjobb gyakorlatainak megfelelően.

Az Apple hisz abban, hogy a magánélethez való jog alapvető emberi jog, és a biztonság folyamatosan a középpontban van a cég összes csapata számára. Az Apple évek óta vezeti az iparágat az olyan új védelmi megoldásokkal, mint például a pointer authentication codes (PAC), a BlastDoor, és a Page Protection Layer (PPL), amelyek megzavarják (és megnehezítik) a kifinomult támadásokat, és megvédik a felhasználókat.

Az Apple platformjainak biztonságáról itt található további információ: support.apple.com/guide/security/welcome/web.

Az Apple fenyegetettségi értesítései államilag finanszírozott támadások esetén

Az Apple fenyegetettségi értesítései úgy kerültek kialakításra, hogy tájékoztassák és segítsék azokat a felhasználókat, akik államilag finanszírozott támadók célpontjai lehettek. Ezeket a felhasználókat a személyük vagy a munkájuk miatt vették célpontba. Az átlagos kiberbűnözőkkel szemben az államilag finanszírozott támadók kivételes erőforrásokat használnak fel ahhoz, hogy csak alacsony számú, vagy pontosan megadott célpontokat és az ő készülékeiket támadják, így az ilyen támadások felfedezése és megelőzése sokkal nehezebb. Az államilag finanszírozott támadások nagyon összetettek, a kifejlesztésük több millió dollárt emészt fel, és sokszor csak rövid ideig használhatóak. A felhasználók túlnyomó többsége emiatt soha nem is esik ilyen támadások áldozatául.

Ha az Apple olyan tevékenységet fedez fel, amely megfelel egy államilag finanszírozott támadásnak, az érintett felhasználókat két módon is értesíti:

• Egy Fenyegetettségi Értesítés jelenik meg az oldal tetején, amikor a felhasználó belép az appleid.apple.com oldalon.
• Az Apple egy emailt és egy iMessage értesítést küld a felhasználó Apple ID-jához tartozó email címre és telefonszámra.

Ezek az értesítések további lépéseket kínálnak az érintett felhasználók számára az eszközeik védelme érdekében.

Ezek a támadók jól finanszírozottak és a módszereik kifinomultak, és a támadásaik idővel fejlődnek. Az ilyen támadások felfedezése a fenyegetettségi hírszerzésre alapul, amely sokszor nem tökéletes és folyamatosan fejlődik. Ezért elképzelhető, hogy az Apple egyes fenyegetettségi értesítései csak téves riasztások lesznek, illetve az is, hogy egyes támadások nem kerülnek észlelésre. Az Apple nem tesz közzé információt azzal kapcsolatban, hogy pontosan mi alapján küld ki ilyen fenyegetettségi értesítést, mert az az államilag finanszírozott támadók számára lehetővé tenné, hogy alkalmazkodjanak, és a jövőben kikerüljék ezt az észlelést.

Az Apple fenyegetettségi értesítései soha nem fogják azt kérni, hogy rákattintsunk bármi linkre, fájlokat nyissunk meg, alkalmazásokat vagy konfigurációs profilokat telepítsünk, illetve hogy megadjuk az Apple ID-nk jelszavát vagy pedig a hitelesítő kódot emailben vagy telefonon keresztül. Ahhoz, hogy ellenőrizhető legyen egy ilyen fenyegetettségi értesítés valódisága, lépjünk be az appleid.apple.com oldalon: ha az értesítést valóban az Apple küldte, akkor ez világosan látszani fog az oldal tetején is a belépés után.

A felhasználók számára továbbra is az alábbi, biztonsági lépések ajánlottak ahhoz, hogy megvédjék magukat a kiberbűnözőkkel és a kártékony szoftverekkel szemben:

• mindig frissítsük a készülékünk szoftverét a legfrissebb elérhető verzióra, ami tartalmazza a legfrissebb biztonsági frissítéseket;
• védjük a készülékünket jelkóddal;
• használjuk a kétlépéses hitelesítést és erős jelszót az Apple ID-nk esetén;
• csak az App Store-ból telepítsünk appokat;
• mindenütt használjunk egyedi és erős jelszavakat;
• ismeretlen küldőktől érkezett üzenetekben ne kattintsunk rá linkekre vagy nyissunk meg csatolmányokat.

Ha nem kaptunk fenyegetettségi értesítést az Apple-től, de jó okunk van azt hinni, hogy államilag finanszírozott támadás célpontjai lehettünk, vagy pedig bármi más okból azonnali kiberbiztonsági segítségre van szükségünk, az Apple azt javasolja, hogy forduljunk szakértőkhöz. Ezzel kapcsolatban például a Consumer Reports Security Planner vészhelyzeti weboldalán találhatunk információt.