Genom att utnyttja svagheter i både Android- och iOS-systemen har underrättelsetjänster och kriminella organisationer i olika länder med tveksam inställning till demokrati kunnat plantera spionprogrammet Pegasus i misshagliga personers telefoner. Programmet kan spionera på allt som händer i telefonen. Allt lämnas ut till den som styr Pegasus.

Genom att utnyttja svagheter i både Android- och iOS-systemen har underrättelsetjänster och kriminella organisationer i olika länder med tveksam inställning till demokrati kunnat plantera spionprogrammet Pegasus i misshagliga personers telefoner. Programmet kan spionera på allt som händer i telefonen. Allt lämnas ut till den som styr Pegasus.

I juli 2021 avslöjades att programmet använts för att spionera på makthavare, religiösa profiler, oppositionella och aktivister. I granskningen framkom att 180 journalister från 20 olika länder har utsatts för övervakning, bland annat chefer och reportrar på CNN, New York Times och Le Monde. Mexikanska knarkkarteller använder Pegasus för att spionera på advokater, journalister, människorättsaktivister, oppositionspolitiker, antikorruptionsadvokater och internationella undersökningskommissioner. Bland de mera prominenta får väl räknas Frankrikes president Macron och Jeff Bezos, chef på Amazon.

Avsikten med spionaget är naturligtvis att hitta komprometterande fakta hos misshagliga journalister, oppositionella, förkämpar för mänskliga rättigheter med flera, för att man senare ska kunna åtala dem och röja dem ur vägen. Eller, varför bära sig lagligt åt, när bara ”röja ur vägen” duger bra?

I och med att Pegasus stjäl allt, såväl pågående samtal, video och GPS-position, som kontakter, lagrade filer, foton, webbhistorik, konversationer, SMS osv kan även dem du kommunicerar med, råka bli avslöjade. Sammantaget gör detta Pegasus till ett fruktansvärt vapen mot oliktänkande och journalister och deras kolleger överallt i världen.

1 Ingen anledning att ge upp

Hotet tycks vara allomfattande. Alla hotas av spioneri numera. Varför ska man ens försöka kämpa emot?

Det ska man visst. Det går att skydda sig mot nya angrepp om man bara vidtar grundläggande åtgärder och kämpar med IT-saniteten.

Pegasus skiljer sig egentligen inte så mycket från tidigare spionappar.

2 Zero-click-attacker

Pegasus är ”zero-click” och kan infektera genom känsliga appar utan att användaren gjort något. Bland de känsliga apparna finns Photos, Apple Music och iMessage.

Hur går det till? Många appar som ligger i de olika app-butikerna är antingen skapade för att vara trojanska hästar direkt, eller har så dåligt skydd (bakdörrar) att de fungerar som svängdörrar för cyberskurkarna. Det finns också en otrolig mängd nästan-appar som ser nästan likadana ut som de populäraste, men är skadliga. Det finns till exempel många hundra appar för väderleksprognoser, och många av dem är skadliga redan från början och lämnar ut dina användaruppgifter till tillverkaren, som sedan säljer dem till högstbjudande.

I media kan det verka som om bara Apples telefoner infekteras, men Android-telefoner är lika utsatta.

Vad ska du göra för att minska hotet?

• Minska attackytan. Minimera mängden appar på telefonen. Sudda de du sällan använder.
• Uppdatera operativsystem och appar regelbundet, eftersom uppdateringar är till för att stänga säkerhetshål.
• Men är du smittad duger det inte att bara uppdatera operativsystemet. Det får inte trojanen att försvinna.
• Skydda din arbetstelefon genom att ha den isolerad och avstängd när den inte används.

Pegasus är ”zero-click” och kan infektera genom känsliga appar utan att användaren gjort något. Bland de känsliga apparna finns Photos, Apple Music och iMessage.

3 Hur tar du reda på om du är smittad?

Problemet är att det är svårt att veta om du är smittad, för Pegasus är duktig på att dölja sig. Annars var det inte mycket till spionprogram. Journalister som är vana vid diktaturernas metoder, menar emellertid att de efter ett tag känner på sig att de är avlyssnade, eftersom de upprepade gånger kontaktas av säkerhetstjänst och polis med underliga anklagelser. De byter därför telefon ofta.

• Misstänker du något bör du låta genomföra en forensisk undersökning av telefonen, hos exempelvis Reportrar utan gränser eller Amnesty International. I så fall ska du inte fabriksåterställa.

En databas med över 50.000 telefonnummer till smittade personers telefoner har avslöjats av organisationerna Forbidden Stories och Amnesty International, vilken de delat med sig av till 17 olika nyhetsorganisationer. En söksida finns under Läs mer.

• Den tekniskt avancerade kan undersöka vart telefonen skickar data, utan att man bett om det, genom att koppla upp telefonen mot sitt eget trådlösa nät och undersöka datatrafiken i routern. Stäng först av alla bakgrundsappar, som väderrapportprogram, hälsorapporter, Spotify (en dold fildelare), spel osv. Naturligtvis kommer telefonen att skicka data till den du kommunicerar med och sannolikt också till tillverkaren, men sen kommer du sannolikt också att få se trafik till annonsörer och allehanda okända adresser. Ring ett samtal och se om den okända trafiken ökar. Skicka ett mail och se om det går iväg till andra än din e-posthanterare. Sannolikt blir det en skakade upplevelse. Okända IP-adresser spårar du på https://whois.domaintools.com/. Beklagligtvis finns det flera tusen adresser till Pegasus Command & Control-servrar och de ändras hela tiden. Notera också att det är vanligt med vilseledande sidor (decoy pages) som, om du skulle titta på dem, ser ut som helt vanliga, ofarliga webbsidor avsedda att få dig att tro att inget farligt har hänt.
• Observera att whois.net är något helt annat!

4 Så, vad ska du tänka på?

En databas med över 50.000 telefonnummer till smittade personers telefoner har avslöjats av organisationerna Forbidden Stories och Amnesty International, vilken de delat med sig av till 17 olika nyhetsorganisationer. En söksida finns under Läs mer.

Är du i riskzonen för att vara av intresse för något lands säkerhetstjänst börjar det bli dags att vakta på vad du gör med telefonen.

Tja, eller, det här gäller väl snart alla som surfar på Internet, som inte vill bli av med personligt data eller lämna ut för mycket till reklamföretagen.

• Klicka inte på allt som blinkar på Internet.
• Länkar kan vara luriga och dölja hopp till skadliga sajter. Om du ska gå till en sajt du litar på, skriv adressen för hand, klicka inte på en länk. Gå över huvud taget inte till sajter du inte litar på.
• Verkar länken vara en förkortad variant (vanligt i sociala media), acceptera den inte.
• Om du vet att sajten du ska till, använder https:// måste du skriva det i början, annars kan webbläsaren dirigeras om till en oskyddad bluffsajt.
• Bokmärk dina kända, säkra sajter och använd dem via bokmärkena, inte via länkar.
• Ignorera SMS och andra meddelanden med begäran om att du ska klicka på länkar. Kommer begäran från någon du känner, ring denne innan du klickar och verifiera att dennes konto inte har blivit hackat.
• Ignorera meddelanden från personer du inte är väl förtrogen med på Instagram, Telegram, Tiktok, Facebook med flera sociala media.
• Sudda skräpmail och mail från okända. Klicka inte på länkar.
• Låt ingen annan använda din telefon.
• Spara lösenord, men sudda cookies. Ofta! https://www.dold.se/cookies-och-hur-du-blir-av-med-dem/
• Bara för att dina vänner tycker att en app verkar kul eller användbar, ska du inte hämta den: https://www.dold.se/appar-som-glappar/
• Följ i övrigt råden för säker användning av mobiltelefoner, enligt http://www.teknikaliteter.se/2019/07/14/simma-lugnt-med-iphone/

5 Särskilt för politiskt utsatta: Två telefoner

Ha två telefoner.

Ha en för allvarligt arbete, som du inte slösurfar med. Fabriksåterställ telefonen innan du börjar använda den. Använd gärna en ostandard webbläsare som löper mindre risk att bli smittad. Håll telefonen uppdaterad med de senaste programuppdateringarna. Stäng av telefonen när den inte används.

• Misstänker du smitta, lämna telefonen till forensisk undersökning hos till exempel Reportrar utan gränser. Frabriksåterställ i så fall inte!

Länkar kan vara luriga och dölja hopp till skadliga sajter. Om du ska gå till en sajt du litar på, skriv adressen för hand, klicka inte på en länk. Gå över huvud taget inte till sajter du inte litar på.

Är din situation väldigt känslig bör du byta telefon ofta. Vad sägs om en gammal telefon som inte kan köra appar? Som inte kan anslutas till Internet? Sådana finns fortfarande. Surfa på en dator istället. Gör dina anteckningar i en anteckningsbok av papper.

Visst, det blir besvärligare, men se det som att du mer eller mindre befinner dig i krig. Ett signalspaningskrig som kan övergå i något allvarligare.

• Har du högre säkerhetskrav, om du till exempel arbetar inom stat och kommun, fundera på en krypterad telefon, som nyttjar säkra zoner: https://www.dold.se/vad-ar-en-saker-mobiltelefon/

Den andra telefonen kan du surfa som vanligt med och öppna okända länkar, men kom ihåg att om den infekteras kan den användas till att spionera på dig. Stäng av telefonen när den inte används.

Surfa inte på caféer, järnvägsstationer och liknande för du kan bli omdirigerad till en skadlig sajt. Hur lätt det är, kan du läsa här: https://www.dold.se/enkelt-att-avlyssna-wifi/

6 Dold.se rekommenderar

Se den här artikeln som en rekommendation från Dold.se. En VPN-tunnel hjälper inte din telefon i detta fall, för det rör sig inte om internet-spionage. Tunneln ger bara Pegasus en krypterad väg ut på Internet, till ingen nytta.

Surfar du på en dator istället, ger Dold.se bra skydd.

7 Läs mer

9q

• Wikipedia om Pegasus: https://en.wikipedia.org/wiki/Pegasus_(spyware)
• En mycket noggrann teknisk beskrivning av hur Pegasus fungerar: https://info.lookout.com/rs/051-ESQ-475/images/pegasus-exploits-technical-details.pdf
• ”HIDE AND SEEK Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries” En utmärkt sammanställning gjord av fyra forskare vid Universitetet i Torontos Citizen Lab som visar alla olika Pegasus-operatörer, var de finns, deras syften och de länder och områden de övervakar, samt de metoder som användes för att upptäcka operatörerna. Forskarna redovisar också sin kommunikation med NSO, som givetvis inte har någon aning alls om vad forskarna talar om. Hämta PDF:en från Researchgate: https://www.researchgate.net/publication/327752350_HIDE_AND_SEEK_Tracking_NSO_Group’s_Pegasus_Spyware_to_Operations_in_45_Countries
• Amnesty International har också undersökt hur Pegasus sprids, misstänkta adresser på Internet, lättsmittade Apple-appar, hur Pegausus försöker dölja sig i telefonen och hur det ibland misslyckas. I stycke 9.5 finns en lista på servrar som Pegasus kommunicerar med, som används för att rikta om din webbläsare till en skadlig sajt, som du kan undersöka, men kom ihåg att dessa adresser byts hela tiden och kanske inte längre är aktuella. Du kommer att hitta Kina, såväl som Kalifornien och Island. Denna undersökning är trots allt up-to-date för år 2021: https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
• Söksida där du kan hitta de utsatta personerna på pegasus-listan: https://cdn.occrp.org/projects/project-p/#/
• Ytterligare en nyhetsartikel: https://www.theallineed.com/technology/20210719/pegasus-50000-people-hacked-including-many-journalists-and-opponents/
• Alla tekniska frågor och svar finns här: https://www.lookout.com/search#q=pegasus+exploits

Se den här artikeln som en rekommendation från Dold.se. En VPN-tunnel hjälper inte din telefon i detta fall, för det rör sig inte om internet-spionage. Tunneln ger bara Pegasus en krypterad väg ut på Internet, till ingen nytta.