Pegasus, en bevingad trojan i din telefon

Bild: Radomil, CC BY-SA 3.0

Genom att utnyttja svagheter i både Android- och iOS-systemen har underrättelsetjänster och kriminella organisationer i olika länder med tveksam inställning till demokrati kunnat plantera spionprogrammet Pegasus i misshagliga personers telefoner. Programmet kan spionera på allt som händer i telefonen. Allt lämnas ut till den som styr Pegasus.

I juli 2021 avslöjades att programmet använts för att spionera på makthavare, religiösa profiler, oppositionella och aktivister. I granskningen framkom att 180 journalister från 20 olika länder har utsatts för övervakning, bland annat chefer och reportrar på CNN, New York Times och Le Monde. Mexikanska knarkkarteller använder Pegasus för att spionera på advokater, journalister, människorättsaktivister, oppositionspolitiker, antikorruptionsadvokater och internationella undersökningskommissioner. Bland de mera prominenta får väl räknas Frankrikes president Macron och Jeff Bezos, chef på Amazon.

Avsikten med spionaget är naturligtvis att hitta komprometterande fakta hos misshagliga journalister, oppositionella, förkämpar för mänskliga rättigheter med flera, för att man senare ska kunna åtala dem och röja dem ur vägen. Eller, varför bära sig lagligt åt, när bara ”röja ur vägen” duger bra?

Övergripande siffror om hur Pegasus används i världen, redovisade av Universitet i Torontos Citizen Lab. Bilden är tillgänglig enligt Creative Commons.

Pegasus skapades av det israeliska företaget NSO Group, sannolikt redan år 2013 i avsikt att användas mot terrorister. NSO påstår att de noga kontrollerat vem som köper programmet, för att inte odemokratiska, korrumperade länder skulle få tag i det. Nå, de odemokratiska, korrumperade fick tag i det iallafall och det används nu av bland andra Afrika, Indien, Ungern, Marocko, Turkiet, Mellanöstern, Mexiko och i diverse före detta sovjetstater.

Den som har skaffat Pegasus från NSO och sprider det på Internet kallas för ”operatör” och vid en undersökning utförd av fyra forskare vid Universitetet i Torontos Citizen Lab år 2018 fanns 36 operatörer som snokade på 45 länder. Bara i Mexiko finns tre operatörer. Se Läs mer.

Allt som Pegasus kan stjäla, enligt Universitet i Torontos Citizen Lab. Bilden är tillgänglig enligt Creative Commons.

I och med att Pegasus stjäl allt, såväl pågående samtal, video och GPS-position, som kontakter, lagrade filer, foton, webbhistorik, konversationer, SMS osv kan även dem du kommunicerar med, råka bli avslöjade. Sammantaget gör detta Pegasus till ett fruktansvärt vapen mot oliktänkande och journalister och deras kolleger överallt i världen.

Ingen anledning att ge upp

Hotet tycks vara allomfattande. Alla hotas av spioneri numera. Varför ska man ens försöka kämpa emot?

Det ska man visst. Det går att skydda sig mot nya angrepp om man bara vidtar grundläggande åtgärder och kämpar med IT-saniteten.

Pegasus skiljer sig egentligen inte så mycket från tidigare spionappar.

Zero-click-attacker

Pegasus är ”zero-click” och kan infektera genom känsliga appar utan att användaren gjort något. Bland de känsliga apparna finns Photos, Apple Music och iMessage.

Hur går det till? Många appar som ligger i de olika app-butikerna är antingen skapade för att vara trojanska hästar direkt, eller har så dåligt skydd (bakdörrar) att de fungerar som svängdörrar för cyberskurkarna. Det finns också en otrolig mängd nästan-appar som ser nästan likadana ut som de populäraste, men är skadliga. Det finns till exempel många hundra appar för väderleksprognoser, och många av dem är skadliga redan från början och lämnar ut dina användaruppgifter till tillverkaren, som sedan säljer dem till högstbjudande.

I media kan det verka som om bara Apples telefoner infekteras, men Android-telefoner är lika utsatta.

Vad ska du göra för att minska hotet?

  • Minska attackytan. Minimera mängden appar på telefonen. Sudda de du sällan använder.
  • Uppdatera operativsystem och appar regelbundet, eftersom uppdateringar är till för att stänga säkerhetshål.
  • Men är du smittad duger det inte att bara uppdatera operativsystemet. Det får inte trojanen att försvinna.
  • Skydda din arbetstelefon genom att ha den isolerad och avstängd när den inte används.

Hur tar du reda på om du är smittad?

Problemet är att det är svårt att veta om du är smittad, för Pegasus är duktig på att dölja sig. Annars var det inte mycket till spionprogram. Journalister som är vana vid diktaturernas metoder, menar emellertid att de efter ett tag känner på sig att de är avlyssnade, eftersom de upprepade gånger kontaktas av säkerhetstjänst och polis med underliga anklagelser. De byter därför telefon ofta.

  • Misstänker du något bör du låta genomföra en forensisk undersökning av telefonen, hos exempelvis Reportrar utan gränser eller Amnesty International. I så fall ska du inte fabriksåterställa.

En databas med över 50.000 telefonnummer till smittade personers telefoner har avslöjats av organisationerna Forbidden Stories och Amnesty International, vilken de delat med sig av till 17 olika nyhetsorganisationer. En söksida finns under Läs mer.

  • Den tekniskt avancerade kan undersöka vart telefonen skickar data, utan att man bett om det, genom att koppla upp telefonen mot sitt eget trådlösa nät och undersöka datatrafiken i routern. Stäng först av alla bakgrundsappar, som väderrapportprogram, hälsorapporter, Spotify (en dold fildelare), spel osv. Naturligtvis kommer telefonen att skicka data till den du kommunicerar med och sannolikt också till tillverkaren, men sen kommer du sannolikt också att få se trafik till annonsörer och allehanda okända adresser. Ring ett samtal och se om den okända trafiken ökar. Skicka ett mail och se om det går iväg till andra än din e-posthanterare. Sannolikt blir det en skakade upplevelse. Okända IP-adresser spårar du på https://whois.domaintools.com/. Beklagligtvis finns det flera tusen adresser till Pegasus Command & Control-servrar och de ändras hela tiden. Notera också att det är vanligt med vilseledande sidor (decoy pages) som, om du skulle titta på dem, ser ut som helt vanliga, ofarliga webbsidor avsedda att få dig att tro att inget farligt har hänt.
  • Observera att whois.net är något helt annat!

Så, vad ska du tänka på?

Riskzonen, så som den uttrycks av Universitet i Torontos Citizen Lab. Bilden är tillgänglig enligt Creative Commons.

Är du i riskzonen för att vara av intresse för något lands säkerhetstjänst börjar det bli dags att vakta på vad du gör med telefonen.

Tja, eller, det här gäller väl snart alla som surfar på Internet, som inte vill bli av med personligt data eller lämna ut för mycket till reklamföretagen.

  • Klicka inte på allt som blinkar på Internet.
  • Länkar kan vara luriga och dölja hopp till skadliga sajter. Om du ska gå till en sajt du litar på, skriv adressen för hand, klicka inte på en länk. Gå över huvud taget inte till sajter du inte litar på.
  • Verkar länken vara en förkortad variant (vanligt i sociala media), acceptera den inte.
  • Om du vet att sajten du ska till, använder https:// måste du skriva det i början, annars kan webbläsaren dirigeras om till en oskyddad bluffsajt.
  • Bokmärk dina kända, säkra sajter och använd dem via bokmärkena, inte via länkar.
  • Ignorera SMS och andra meddelanden med begäran om att du ska klicka på länkar. Kommer begäran från någon du känner, ring denne innan du klickar och verifiera att dennes konto inte har blivit hackat.
  • Ignorera meddelanden från personer du inte är väl förtrogen med på Instagram, Telegram, Tiktok, Facebook med flera sociala media.
  • Sudda skräpmail och mail från okända. Klicka inte på länkar.
  • Låt ingen annan använda din telefon.
  • Spara lösenord, men sudda cookies. Ofta! https://www.dold.se/cookies-och-hur-du-blir-av-med-dem/
  • Bara för att dina vänner tycker att en app verkar kul eller användbar, ska du inte hämta den: https://www.dold.se/appar-som-glappar/
  • Följ i övrigt råden för säker användning av mobiltelefoner, enligt http://www.teknikaliteter.se/2019/07/14/simma-lugnt-med-iphone/

Särskilt för politiskt utsatta: Två telefoner

Ha två telefoner.

Ha en för allvarligt arbete, som du inte slösurfar med. Fabriksåterställ telefonen innan du börjar använda den. Använd gärna en ostandard webbläsare som löper mindre risk att bli smittad. Håll telefonen uppdaterad med de senaste programuppdateringarna. Stäng av telefonen när den inte används.

  • Misstänker du smitta, lämna telefonen till forensisk undersökning hos till exempel Reportrar utan gränser. Frabriksåterställ i så fall inte!
Bild: Eirik Solheim, Unsplash

Är din situation väldigt känslig bör du byta telefon ofta. Vad sägs om en gammal telefon som inte kan köra appar? Som inte kan anslutas till Internet? Sådana finns fortfarande. Surfa på en dator istället. Gör dina anteckningar i en anteckningsbok av papper.

Visst, det blir besvärligare, men se det som att du mer eller mindre befinner dig i krig. Ett signalspaningskrig som kan övergå i något allvarligare.

Den andra telefonen kan du surfa som vanligt med och öppna okända länkar, men kom ihåg att om den infekteras kan den användas till att spionera på dig. Stäng av telefonen när den inte används.

Surfa inte på caféer, järnvägsstationer och liknande för du kan bli omdirigerad till en skadlig sajt. Hur lätt det är, kan du läsa här: https://www.dold.se/enkelt-att-avlyssna-wifi/

Dold.se rekommenderar

Se den här artikeln som en rekommendation från Dold.se. En VPN-tunnel hjälper inte din telefon i detta fall, för det rör sig inte om internet-spionage. Tunneln ger bara Pegasus en krypterad väg ut på Internet, till ingen nytta.

Surfar du på en dator istället, ger Dold.se bra skydd.

Läs mer

Av Jörgen Städje, Dold.se