Удаленный взлом iPhone происходит без труда. Вы под угрозой? Как проверить свой iPhone

Привет.

Начну с простого утверждения. Любой iPhone от Apple полон неприятных сюрпризов. Это отсутствие защиты пользовательских данных, возможность удаленной слежки, причем со стороны не только спецслужб США, но и других заинтересованных лиц. Зачастую для получения доступа к вашим данным нужно знать две вещи: ваш номер телефона и то, что у вас iPhone. Скандалы вокруг этого продукта случаются постоянно, причем в публичной плоскости, но каждый раз владельцы iPhone успокаивают себя простыми мантрами, например, вот такой: я не представляю интереса для слежки со стороны Америки. Часто они идут еще дальше и утверждают, что «все знают, что на Android дела обстоят еще хуже, там безопасности нет совсем». Вот только реальность такова, что скандалы происходят вокруг iPhone, а на Android нет примеров реального взлома политиков без физического доступа к устройствам. Можно вспомнить такие примеры, как взлом архива iCloud Дмитрия Медведева (в Apple отрицали наличие проблемы как таковой, но изменили алгоритм защиты архивов для всех — взломы были массовыми), слежку за канцлером Германии Ангелой Меркель (десять лет с хвостиком), за президентом Франции (из недавнего, но и там компания промолчала). Одним словом, создается впечатление, что Apple всегда не при делах, вот только ее устройства не взламывает только ленивый.

Мне устройства от Apple напоминают дом, набитый богатствами, читай — пользовательскими данными. Смотришь на него в лоб и видишь дверь, которая защищена по последнему слову техники: сканер лица, множество дополнительных замков. Вскрыть такую дверь невозможно, и это факт! Вот только если обойти дом сбоку, вы обнаружите, что там просто нет стены и можно в любое время дня и ночи заходить внутрь, смотреть за жизнью обитателей дома и не оставлять никаких зримых следов своего присутствия. К сожалению, это сделано с умыслом, хотя в Apple пытаются сохранить лицо и утверждают, что беспокоятся о конфиденциальности данных своих пользователей. Было бы удивительно услышать что-то иное от компании, не так ли? Я не знаю, сколько нам нужно доказательств того, что с безопасностью данных на iPhone что-то не так, чтобы в это поверить. Давайте посмотрим на заявление, что сделали в ФСБ России:

«В ходе обеспечения безопасности российской телекоммуникационной инфраструктуры выявлены аномалии, характерные только для пользователей мобильных телефонов “Apple” и обусловленные работой ранее неизвестного вредоносного программного обеспечения (ВПО), использующего предусмотренные производителем программные уязвимости.

Установлено, что заражению подверглись несколько тысяч телефонных аппаратов этой марки. При этом кроме отечественных абонентов выявлены факты заражения зарубежных номеров и абонентов, использующих sim-карты, зарегистрированные на диппредставительства и посольства в России, включая страны блока НАТО и постсоветского пространства, а также Израиль, САР и КНР.

Таким образом, полученная российскими спецслужбами информация свидетельствует о тесном сотрудничестве американской компании “Apple” с национальным разведсообществом, в частности АНБ США, и подтверждает, что декларируемая политика обеспечения конфиденциальности персональных данных пользователей устройств “Apple” не соответствует действительности.

Компания предоставляет американским спецслужбам широкий спектр возможностей по контролю как за любыми лицами, представляющими интерес для Белого дома, включая их партнеров по антироссийской деятельности, так и за собственными гражданами».

Можно отнестись к заявлению ФСБ России как к своему рода хвастовству, пропаганде, которая не подкреплена деталями и вызывает вопросы. Информационное сообщение не изобилует подробностями, что моментально вызвало сомнение, а был ли мальчик. Но эта работа была проделана вместе с «Лабораторией Касперского», и уже наша компания рассказывает детали, а они очень интересны.

В «Лаборатории Касперского» дали название этому взлому – «Операция триангуляция», пообещали обновлять страничку с описанием атаки, найти ее можно вот здесь.

Краткая выдержка о том, что происходит:

«Анализ последовательностей событий заражённых устройств позволил нам выделить события, специфичные для момента компрометации. Дальнейшее исследование позволило восстановить следующую картину заражения:

• Заражаемое iOS-устройство получает сообщение iMessage со специальным вложением, содержащим эксплойт
• Без какого-либо взаимодействия с пользователем, эксплойт из сообщения вызывает выполнение вредоносного кода
• Указанный код соединяется с сервером управления и приводит к последовательной загрузке нескольких “ступеней” вредоносной программы, включая дополнительные эксплойты для повышения привилегий
• После успешной отработки всех вредоносных компонентов, загружается конечная вредоносная нагрузка – полноценная APT-платформа
• Сообщение и вложение с эксплойтом удаляются в процессе заражения

Вредоносная платформа работает исключительно в оперативной памяти и не устанавливается в системе из-за ограничений операционной системы. Однако последовательности событий нескольких устройств указывают на то, что после перезагрузки устройства могут быть заражены снова. Наиболее старые временные метки заражений указывают на 2019 год. На момент написания блогпоста (июнь 2023) атака продолжается, наиболее старшая версия iOS на обнаруженных заражённых устройствах – 15.7.
Анализ вредоносной платформы продолжается. Уже известно, что она выполняется с привилегиями суперпользователя, реализует набор команд для сбора информации о пользователе и системе, а также позволяет исполнять произвольный код в виде плагинов, переданных с сервера управления».

Что тут важно понимать тем, кто не хочет вдаваться в подробности. Взлом происходит удаленно, атакующие получают полный доступ к системе, практически не оставляют следов. Осуществить такой взлом без знания деталей системы и сотрудничества со стороны Apple невозможно. Причем такие инструменты появляются постоянно, это не единичный случай. Реакция Apple в этот раз последовала быстро, в комментарии компания заявила, что не следит за пользователями, не сотрудничает с правительствами отдельных стран. Примечательно тут то, что в компании решили дать комментарии, это показывает, насколько ситуация горяча для Apple.

Как устроен рынок взлома iPhone — правительство и частные компании

Уверен, что в Apple не оставляют никаких следов, нет документов, которые показывают их работу со спецслужбами. Компания просто постоянно убирает «стену» в своем доме, чтобы в него могли залезать те, кто знает путь. Защита данных при этом формально не страдает, ведь путь сделан таким, чтобы на него нельзя было наткнуться случайно. Представьте себе, что это дорога, где нужно пройти по болоту, перепрыгивая с кочки на кочку, петь определенные песни и заодно на отдельных кочках танцевать с бубном конкретный танец. Пассивная защита такого рода надежна, и формально доступ получат только лица, которым вы дали такое разрешение, в истории Apple это государство.

Но мы знаем, что на рынке есть десятки компаний из разных стран, которые предоставляют ровно такие же услуги. Как правило, они организованы бывшими сотрудниками спецслужб. Что говорит нам о том, что внутри США данные о методах взлома устройств Apple не держатся в тайне, утекают во внешний мир. И их активно эксплуатируют разные компании, причем в течение многих лет. Один из самых громких скандалов последнего времени — это NSO Group из Израиля, компанию решили утопить за то, что она продавала инструменты слежки Саудовской Аравии — не тем покупателям, что приятны США.

Но таких компаний не одна и не две, их много, и они работают с разрешения властей США. Не верите? Давайте прочитаем расследование британской Financial Times о компании Paragon Solutions, которая занимается ровно той же работой, что NSO Group. Найти полный текст можно вот тут.

У компании есть платформа Graphite, она осуществляет слежку за теми же iPhone, список из 35 стран утвержден чиновниками в США, это некое разрешение на слежку. Также как и список тех, кому можно продавать эти инструменты, а кому нет. В компанию инвестирует американский бизнес, у нее сильная поддержка внутри США. Это ребята, которые нужны, чтобы делать грязную работу.

Причина появления частных компаний с такими инструментами проста: у спецслужб США просто не хватает рук, чтобы следить за всеми. И поэтому они отдают свои инструменты вовне, привлекают сторонние компании в надежде, что те смогут нарыть что-то интересное для них и поделятся находками. Ситуация выигрышная со всех точек зрения.

Но также нужно понимать, что утечки инструментов из этих компаний происходят ровно так же. Они вызывают уже спешные действия Apple, выпуск патчей безопасности, чтобы закрыть уязвимости. Делается это не из-за заботы о пользователях, а по причине эксклюзивности взлома iPhone, такие инструменты не должны быть общедоступными. Но рано или поздно случится ситуация, когда подобный инструмент или ряд инструментов попадут в руки обычных людей, вся логика событий говорит, что вероятность этого растет с каждым днем. И тогда наступит момент, когда обычные люди увлеченно начнут взламывать своих знакомых, копаться в их переписке, фотографиях, архивах — во всем, что создает наше отражение цифровой жизни. И это станет катастрофой для многих, не исключая Apple.

Что делать, нужно ли отказываться от iPhone и что там на Android

Каждый из нас должен оценивать свои риски в жизни самостоятельно, никто не сделает этого за нас. Уязвимости iPhone хорошо известны, примеров взлома коммуникаций первых лиц государств множество. Неужели кто-то думает, что взлом iPhone Эмманюэля Макрона — это недостаточный повод для беспокойства обычного человека? Вы правда считаете, что у вас какой-то особенный iPhone, который защитили в компании Apple?

Меня удивляет, что чиновники в России даже сегодня продолжают пользоваться iPhone, не отказываются от них, хотя реальная, даже не потенциальная возможность слежки всегда была максимальной и сейчас она осуществилась на практике. Интересно, будет ли государство вводить какие-то ограничения на iPhone после этого случая, ведь после произошедшего и слов, сказанных ФСБ России, не остается вариантов. Писал о чиновниках и iPhone отдельно, высказывал свое недоумение.

Проверить свой аппарат на подверженность этой конкретной атаке можно с помощью инструмента, созданного в «Лаборатории Касперского», описание процедуры можно найти вот тут.

Но проблема в том, что таких инструментов не один и не два, их десятки. Обнаружили в реальной жизни только один из них, а как работают другие, мы не знаем. Почему я утверждаю, что их так много? Да потому, что никто никогда не складывает все яйца в одну корзину, разные компании получают разные уязвимости — это также контроль над тем, где идет утечка данных, кто разбазаривает свои доступы.

Что с безопасностью на Android? Если убрать за скобки устройства безвестных компаний, которые получали трояны на заводе, то все более-менее хорошо, ни одной подобной истории просто не существует. Взлом возможен при физическом доступе к устройствам, но никаких удобств, как в случае iPhone. Если посмотреть на услуги NSO Group, Paragon Solutions, то список возможностей для iPhone и для Android окажется очень разным, на Android возможности слежки сильно ограничены. Причина этого в том, что Android создается Google, но вот само железо — десятками разных компаний, многие из них дополнительно создают свои уровни безопасности. Например, в течение десяти лет в Samsung есть KNOX, система, которая проверяет целостность программной и аппаратной частей устройства, помимо пользовательских функций. Ни разу KNOX не был скомпрометирован в реальной жизни, таких примеров просто нет. Да и массовой слежки за Android-пользователями не было, причем не потому, что они неинтересны, просто такие решения имеют реальную, а не дутую защиту, как в случае Apple.

Владельцы iPhone могут убеждать себя в разных вещах. Факты — упрямая штука, и они много лет говорят об одном: с безопасностью у компании Apple дела обстоят плохо, ваши данные не защищены. Нужно ли выбрасывать свой телефон от Apple, решать вам, но нужно просто быть морально готовым к тому, что в один прекрасный день все ваши фотографии, переписка, контакты и почта попадут в руки вашего самого большого недоброжелателя. Если для вас это нормально, то, конечно же, никаких проблем нет. А если нет, то стоит отказаться от iPhone, так как он банально небезопасен в отношении ваших данных. И это не вопрос веры, убеждения и так далее, это просто факт.

P.S. И отвечая на самый частый вопрос, обнаружить слежку за собой с инструментами того класса, что описан выше, невозможно. Вы практически никогда не будете знать, что за вами следят. Нет никаких внешних признаков.