24 ноября 2021 года компания Apple разослала предупреждения о возможных атаках злоумышленников на смартфоны iPhone. Первыми, кто сообщил об этом, стали гражданские активисты и общественные деятели из Таиланда. Музыкант Dechatorn Bamrungmuang, известный под именем Hockhacker, выложил скриншот этого сообщения у себя в Facebook.
На родине Hockhacker известен не просто как рэпер, но и как основатель движения «Рэп против диктатуры». Его уже арестовывали в 2020 году за организацию протестов. Совсем недавно, в ноябре 2021 года, Hockhacker сообщил о том, что правительство аннулировало его паспорт. Предупреждение Apple о хакерской угрозе получили и другие тайские «вольнодумцы», в основном правозащитники и представители университетских кругов.
Скоро выяснилось, что сообщения получили не только пользователи в Таиланде. Ассоциация журналистов Сальвадора сообщила о 23 полученных предупреждениях, адресованных членам их организации. О таких же письмах сообщили из Ганы и Уганды.
Когда Apple будит вас предупреждением о том, что ваш iPhone под угрозой, вы понимаете, насколько могут быть реальны кибертеррористы под крылом правительства.
О чем конкретно предупреждает Apple
«Внимание! — говорится в сообщении, скриншот которого опубликовал тайский рэпер. — Хакеры на службе у правительства могут атаковать ваш iPhone. По оценке Apple, вы являетесь мишенью прогосударственных хакеров. Они пытаются удаленным образом проникнуть на iPhone, связанный с вашим Apple ID. Столь пристальное внимание именно к вам объясняется тем, кто вы есть и чем занимаетесь. Если ваше устройство окажется скомпрометировано из-за прогосударственного хакера, он сможет получить удаленный доступ к вашим самым важным данным, коммуникациям, даже к микрофону и камере. Возможно, ничего такого не случится, но, пожалуйста, отнеситесь к этому предупреждению серьезно».
Первое, что приходит в голову получателю: а не фейк ли это? Apple, видимо, догадывалась о такой реакции, поэтому опубликовала пояснение. В частности, Apple объясняет, как убедиться в подлинности предупреждения (я буду удивлен, если никто из злоумышленников не воспользуется случаем и не разошлет фишинговые письма, похожие на «яблочные», так что будьте внимательны). Apple особо подчеркивает, что предупреждения компании не содержат предложений кликнуть по ссылке или что-нибудь скачать.
Почему именно сейчас
Во вторник 23 ноября 2021 года Apple заявила, что подала иск в Федеральный окружной суд Северного округа Калифорнии. Ответчиками выступают израильская компания NSO Group и ее «родительская» компания OSY Technologies. Apple настаивает, что продукты NSO Group были использованы для атак на пользователей Apple. Компания рассчитывает, что суд запретит NSO Group использовать любые устройства, программы и сервисы Apple.
NSO Group известна, прежде всего, своим шпионским программным обеспечением под названием Pegasus. Впервые о Pegasus стало известно еще в 2016 году. Разработчик позиционировал этот недешевый инструмент как средство адресной слежки за террористами и прочими подобными злодеями. Поэтому покупателями, по словам NSO Group, выступали только правительственные (правоохранительные) органы. Однако реальность оказалась иной. В июле 2021 года журналисты из Forbidden Stories и правозащитники из Amnesty International опубликовали исследование о применении Pegasus для слежки за гражданскими активистами и оппозиционными политиками (комментарий на русском языке). NSO Group отвергла эти обвинения и заявила, что не продает Pegasus странам с авторитарными режимами.
В сентябре 2021 года канадская организация The Citizen Lab (ассоциирована с Университетом Торонто) сообщила, что на зараженном Pegasus смартфоне активиста из Саудовской Аравии был обнаружен эксплойт. Его назвали FORCEDENTRY, изучили и пришли к выводу, что эксплойт служил для установки Pegasus на устройства Apple, в частности, на iPhone с iOS версией до 14.8. Команда Apple быстро ликвидировала уязвимость.
«Apple рассылает предупреждения небольшому числу пользователей, которые могли стать мишенью для FORCEDENTRY», — объяснила компания в объемном пресс-релизе от 23 ноября 2021 года. С моей точки зрения, рассылка предупреждений выглядит так же, как «информационное сопровождение» судебного иска.
Что делать
Предупреждения вроде тех, которые в ноябре 2021 года разослала Apple, случались и раньше. Например, с 2012 года Google рассылает нечто подобное своим пользователям. Иски против NSO Group тоже не новость. Так, в 2019 году судебное разбирательство начал WhatsApp. Ни для кого не сюрприз, что правительства стран с авторитарными и репрессивными режимами активно интересуются содержимым смартфонов и компьютеров гражданских активистов, политических оппозиционеров и независимых журналистов. Практически все обыски по политическим мотивам в России сегодня сопровождаются изъятием техники.
Apple рекомендует следовать общим советам по безопасности, а именно:
- обновлять программы до самых свежих версий (где устранены уязвимости);
- защищать устройства паролем;
- использовать надежные, стойкие пароли;
- использовать двухфакторную аутентификацию;
- не кликать по ссылкам и вложениям от неизвестных или сомнительных отправителей.
Что касается фишинга, то, по моему мнению, он является частным случаем социальной инженерии. Главной уязвимостью здесь является не компьютер или смартфон, а человек. Будьте аккуратны с присланными сообщениями. Подвергайте сомнению и анализу любое предложение что-то скачать или куда-то перейти. Исключите доступ посторонних людей к вашим устройствам и аккаунтам. Возможно, эти советы покажутся чуть шире, чем нужно для защиты от вредоносного кода, но лишними они не будут.
На момент написания этой статьи мне не были известны достоверные случаи получения уведомления от Apple российскими гражданскими активистами и независимыми журналистами. Но исключать такое нельзя, да и ситуация может меняться. Если вы получили предупреждение, возможно, против вас действительно была организована атака с применением Pegasus. Или, по меньшей мере, попытка атаки. В этом случае будет разумно (хотя бы временно) перестать пользоваться «сомнительным» смартфоном и обратиться к специалистам. Например, на горячую линию по цифровой безопасности Access Now.
«Наверное, напишу об этом песню», — подвел промежуточный итог тайский рэпер Hockhacker.
Автор благодарит Natalia Krapiva из Access Now за ценные комментарии, которые помогли при написании этого материала.