Как защитить себя от Pegasus, шпионского ПО от NSO Group

KZ.media

4 года назад

Еще в августе 2020 года, то есть еще за год до появления расследования «Проект Пегас», команда безопасности FLM (First Look Media) на своем блоге о медиа-технологиях опубликовала руководство для пользователей — как защититься от Pegasus, сложного шпионского ПО от NSO Group.

Мы публикуем перевод этой статьи, так как уверены, что эти рекомендации будут очень полезны всем, кто заботится о защите своих личных данных.

Несколько недель назад Amnesty International опубликовала подробный отчет с описанием нового случая, когда группа NSO Group, по всей видимости, использовала свою печально известную шпионскую программу Pegasus против новой цели, марокканского журналиста Омара Ради. Это только последнее подобное нападение на фоне долгой и отвратительной истории подобных атак, приписываемых NSO Group, направленных против журналистов и правозащитников; пагубная модель целевого наблюдения, которая была подробно задокументирована и исследована такими организациями, как Citizen Lab , Amnesty International , а также Article 19, R3D и SocialTIC .

Но в то время как Pegasus представляет собой сложное шпионское ПО, использующее различные эксплойты нулевого дня, установочные векторы, которые Пегас использует для успешного заражения целевого устройства, могут быть заблокированы базовыми операционными процедурами безопасности, такими как отказ от щелчка по неизвестным ссылкам, практика разделения устройств (например, использование отдельные устройства для отдельных приложений), а также наличие VPN на мобильных устройствах.

«Неограниченный доступ к мобильному устройству цели»

В 2015 году WikiLeaks опубликовал архивы Hackingteam, состоящие из более чем одного миллиона писем от другого поставщика шпионского ПО, HackingTeam.

В некоторых из этих писем участники HackingTeam обсуждают конкурирующую группу NSO, а в некоторых электронных письмах от 2014 года есть рекламная брошюра от NSO Group, в которой описываются возможности Pegasus.

Брошюра информативна, поскольку раскрывает информацию о методах, которые NSO Group использует для установки Pegasus на устройства целей, что дополнительно подтверждается различными тематическими исследованиями, которые правозащитные организации опубликовали для анализа устройств.

NSO Group позиционирует Pegasus как предоставляющий «неограниченный доступ к мобильным устройствам цели», позволяющий клиентам «удаленно и скрытно собирать информацию об отношениях, местонахождении, телефонных звонках, планах и действиях вашей цели — когда и где бы они ни находились».

В частности, рекламируется Pegasus как обладающий следующими возможностями:

Мониторинг голосовых и VoIP-вызовов в режиме реального времени
Сифонируйте данные с телефона, включая контакты, пароли и файлы, а также зашифрованный контент.
Действовать как «прослушка из окружающей среды», то есть слушать через микрофон, эффективно превращая телефон в жучка.
Отслеживайте общение в ряде приложений, включая WhatsApp, Facebook, Skype, Blackberry Messenger и Viber.
Отслеживайте местоположение телефона (и, в свою очередь, цели) в реальном времени с помощью GPS

Исходя из вышеперечисленных возможностей, Pegasus представляется особенно дорогим троянцем удаленного доступа (RAT). Pegasus также можно охарактеризовать как мобильную расширенную постоянную угрозу (mAPT). Мобильный, потому что он специально нацелен на мобильные устройства (как Android, так и iOS, а также устройства BlackBerry), а не настольные или портативные компьютеры. Продвинутый, потому что он использует ряд сложных и ранее не публично известных векторов заражения (известных как уязвимости нулевого дня). Постоянный, потому что он задерживается на целевом устройстве до тех пор, пока злоумышленник не решит, что он больше не хочет его там; и угроза, поскольку позволяет полностью взломать целевое устройство.

Взлом телефона

Согласно брошюре NSO Group, существует четыре «вектора установки агентов» для установки Pegasus на целевое устройство. Первые два вектора — беспроводное (OTA) и расширенное сообщение социальной инженерии (ESEM) — допускают удаленную установку, а последние два — тактический сетевой элемент и физический — требуют близости к цели.

Эксплойты Zero-Click

Позиционируемый как «уникальность NSO, которая значительно отличает решение Pegasus от любого другого решения, доступного на рынке», вектор установки по воздуху (OTA) работает путем отправки скрытого push-уведомления на телефон цели и не требует взаимодействия со стороны цель в виде щелчка по ссылкам или открытия сообщений, что делает установку шпионского ПО «полностью бесшумной и невидимой». Этот вид атаки известен как эксплойт с нулевым щелчком. Однако применимость вектора OTA, по-видимому, ограничена: в сноске отмечается, что «некоторые устройства не поддерживают его; некоторые поставщики услуг блокируют push-сообщения», а также отмечается, что атака не сработает, если «целевой номер телефона неизвестен».

Вот несколько примеров конкретных атак, в ходе которых Pegasus запускается на телефон с использованием эксплойтов с нулевым щелчком:

В жалобе 2017 года, поданной США в Окружной суд США Южного округа Флориды против бывшего президента Панамы Рикардо Мартинелли, говорится, что Мартинелли «незаконно присвоил правительственные ресурсы для незаконного перехвата и записи личных разговоров не менее 150 человек, которых он определил как« цели ». ‘», причем журналисты, политические деятели, профсоюзные активисты и лидеры общественных объединений были среди перечисленных целей Мартинелли. Одним из векторов установки, согласно которым Pegasus управлялся по указанию Мартинелли, было «электронное продвижение пакета плиток, которые были установлены непосредственно на телефоне».
В 2018 году Vice опубликовала отчет анонимного «предпринимателя», который, похоже, стал свидетелем взлома своего телефона с нулевым щелчком во время демонстрации NSO Group.
Хотя эксплойт push-уведомлений, упомянутый в разделе «Вектор установки OTA» в руководстве по продукту, не используется (в котором может говориться о различных эксплойтах, возможных с помощью сообщений WAP push Service Load), тем не менее появилось много других примеров использования другого вектора установки NSO с нулевым щелчком. в 2019 году, когда WhatsApp объявила, что NSO Group использовала в своем приложении эксплойт RCE (Remote Code Execution) с нулевым щелчком, который позволил NSO Group успешно заражать цели, просто отправив вызов цели через WhatsApp; «человеку даже не нужно было отвечать на звонок», чтобы заразиться. Согласно жалобе WhatsApp, NSO Group попыталась заразить более 1400 телефонных номеров с помощью этого вектора атаки, причем «адвокаты, журналисты, правозащитники, политические диссиденты, дипломаты и другие высокопоставленные иностранные правительственные чиновники» были более 100 из тех, кого NSO Group преследовала через Эксплойт в WhatsApp.

Первоначальная атака OTA, упоминаемая в брошюре Pegasus, вероятно, больше не эффективна, поскольку брошюра была опубликована в 2014 году, а современные устройства обычно не поддерживают push-сообщения WAP Service Load. Однако, как показывает эксплойт WhatsApp, NSO Group постоянно обновляет свои векторы установки, чтобы использовать новые уязвимости с нулевым щелчком.

Поскольку уязвимости с нулевым щелчком по определению не требуют вмешательства пользователя, от них сложнее всего защититься. Существуют базовые операционные меры безопасности, которые пользователи могут предпринять для блокировки своих устройств, однако даже при соблюдении всех передовых методов безопасности они не являются надежной гарантией защиты устройства от новой атаки. Укрепление устройства может быть достигнуто за счет двойных принципов безопасности: уменьшения поверхности атаки и разделения устройств на разделы.

Чтобы уменьшить поверхность для атаки, необходимо свести к минимуму возможные пути заражения вашего устройства. Подобно тому, как меньше незапертых дверей в вашем доме, тем меньше возможностей для проникновения грабителя, а также чем меньше приложений на вашем телефоне, тем меньше дверей должен проникнуть злоумышленник.

Обязательно регулярно обновляйте как базовую операционную систему вашего телефона, так и отдельные установленные приложения, поскольку даже уязвимости нулевого дня могут быть непреднамеренно исправлены с помощью обновлений программного обеспечения.

Говоря о приложениях, регулярно проводите аудит установленных приложений (и их разрешений) и удаляйте все приложения, которые вам больше не нужны или которые вы не используете активно. Безопаснее удалить редко используемое приложение и загрузить его снова, когда оно вам действительно нужно, чем оставлять его на телефоне, когда оно вам не нужно.

Для приложений, которые вы не можете удалить из-за того, что используете регулярно, вы можете попробовать разделить устройства на части.

Например, рассмотрим эксплойт WhatsApp. Если бы на телефоне был установлен только WhatsApp, когда этот телефон был взломан, его можно было бы использовать только для кражи данных WhatsApp, но не для любой другой конфиденциальной информации, которая была бы на вашем другом телефоне — ваша электронная почта, календарь, фотографии и сообщения Signal были бы безопасным, например (хотя компрометация все равно позволит NSO Group использовать телефон в качестве прослушки и устройства слежения).

Во время особо деликатных встреч вы также можете физически изолировать свой телефон, оставив его в другой комнате в защитном мешке.

Социальная инженерия

Когда OTA-атаки невозможны, в брошюре NSO Group говорится, что им необходимо прибегнуть к отправке специально созданного сообщения — через SMS, электронную почту или приложение для обмена сообщениями, такое как WhatsApp, — цели, надеясь, что она нажмет на ссылку, ведущую к вредоносный веб-сайт, который затем взламывает устройство и устанавливает Pegasus.

Это то, что в брошюре называется расширенным сообщением социального инженера (ESEM).

Как отмечается в маркетинговых материалах, «вероятность того, что цель нажмет на ссылку, полностью зависит от уровня достоверности контента. Решение Pegasus предоставляет широкий спектр инструментов для составления индивидуализированного и невинного сообщения, чтобы заманить цель открыть страницу. сообщение».

Другими словами, ESEM — это маркетинговый язык NSO Group для целевого фишинга (фишинговые атаки, специально разработанные для привлечения приманки к конкретным лицам, в отличие от массовых обезличенных фишинговых кампаний, подобных тем, которые вы можете отправить в свой почтовый ящик с просьбой войти в банк, в котором у вас даже нет счета).

Наряду с R3D, SocialTic и Article19, Citizen Lab подробно задокументировала ряд атак NSO Group, которые развернули вектор установки ESEM против журналистов и правозащитников в период с 2015 по 2018 год. Известные атаки на основе ESEM, приписываемые NSO Group, включают атаки, направленные против следующих частные лица и организации, все из которых получали различные текстовые сообщения-приманки, в которых содержалась вредоносная ссылка в сообщении, нажатие на которую привело бы к установке Pegasus:

Журналист New York Times Бен Хаббард получил SMS-сообщения, в которых утверждалось, что он связал информацию о «Бен Хаббарде и истории саудовской королевской семьи».
Журналист Гризельда Триана (продюсер и ведущая радиошоу «La otredad», а также жена убитого журналиста Хавьера Вальдеса Карденаса) получила несколько текстовых сообщений, связанных со смертью ее мужа.
Андрес Вильярреал и Исмаэль Бохоркес , журналисты и директорагазеты Ríodoce , получили несколько SMS-сообщений, в которых якобы содержалась информация об убийстве журналиста Хавьера Вальдеса Карденаса, некоторые из которых были представлены в виде новостных предупреждений
Клаудио Х. Гонсалес , директор антикоррупционной организации Mexicanos Contra la Corrupción y la Impunidad (MCCI), получил несколько SMS-сообщений, в которых якобы были ссылки на новости о нем.
Правозащитники и юристы Карла Мишель Салас и Дэвид Пенья получили несколько SMS-сообщений, якобы «служебных», а также сообщения с предполагаемыми новостями и одно сообщение, которое было представлено как приглашение по ссылке на поминки.
Телефон, принадлежащий Междисциплинарной группе независимых экспертов, группе, созданной Межамериканской комиссией по правам человека для расследования массового похищения людей в Игуале в 2014 году, получил как минимум два текстовых сообщения, которые якобы были связаны с приглашениями на поминки.
Три мексиканских политика, Рикардо Анайя Кортес, Роберто Хиль Зуарт, Фернандо Родригес Доваль , получили несколько текстовых сообщений, якобы являющихся ссылками на новости, а также ссылку, утверждающую, что соперничающая политическая партия что-то сказала об одном из политиков.
Мексиканские журналисты Кармен Аристеги (а также ее несовершеннолетний сын), Рафаэль Кабрера, Себастьян Барраган, Карлос Лорет де Мола, Сальвадор Камарена, Даниэль Лисаррага; сотрудники организации гражданского общества Centro Miguel Agustín Pro Juárez Марио Патрон, Стефани Брюэр и Сантьяго Агирре; и сотрудники Мексиканского института конкурентоспособности Хуан Пардинас и Александра Сапата, все были нацелены на длительные кампании, в ходе которых они получали несколько SMS-сообщений, утверждающих, что это все, от официальных уведомлений от посольства США до сообщений, которые якобы являются предупреждениями AMBER, а также связанных и тексты на сексуальную тематику с сопутствующими ссылками
Симон Баркера, научный сотрудник Национального института общественного здоровья; Алехандро Кальвильо, директор организации по защите прав потребителей El Poder del Consumidor; и Луис Энкарнасьон , директор Coalición ContraPESO, коалиции по профилактике ожирения, все работали в поддержку налога на газировку в Мексике и получали текстовые сообщения, якобы являвшиеся ссылками на новостные статьи, связанные заявлениями о том, что родственники умерли или что их дети были ранены, поскольку а также связанные сексуальные насмешки
Правозащитник Ахмед Мансур получил несколько текстовых сообщений с просьбой щелкнуть ссылку, которая якобы содержит «новые секреты» о людях, которых пытают в тюрьмах в Объединенных Арабских Эмиратах.
Активист саудовского диссидента Омар Абдулазиз получил SMS-сообщения, якобы предназначенные для отслеживания посылок со ссылками на службы отслеживания посылок.
Неназванный сотрудник Amnesty International получил сообщение WhatsApp , подразумевающее быть связь, которая была информация о протесте, в то время как саудовский активист , проживающий за рубеж получил сообщение SMS утверждающее содержать информацию о судебном приказе против них
Расследование Amnesty International показало, что Маати Монджиб, правозащитник и журналист, и Абдессадак Эль Бушаттауи, адвокат по правам человека, в течение 2018–209 годов получали SMS-сообщения с множеством приманок, включая сообщения, утверждающие, что они являются ссылками на видео, электронные книги, петиции и приложения. обновления и списки недвижимости
В жалобе Соединенных Штатов на бывшего президента Панамы Рикардо Мартинелли, ранее описанной в разделе об известных OTA-атаках, далее упоминается, что помимо «проталкивания» шпионского ПО на телефоны «целей» (в том числе журналистов и членов гражданского общества), также был установлен Pegasus «отправив цели текстовое сообщение, содержащее ссылку, которая инициирует установку, когда цель щелкнет по ней»
Управление Верховного комиссара ООН по правам человека опубликовало в январе 2020 года пресс-релиз о взломе телефона генерального директора Amazon Джеффа Безоса, в котором говорится, что «криминалистический анализ показал, что вторжение, вероятно, было совершено с использованием известного шпионского продукта, выявленных в других случаях наблюдения Саудовской Аравии, таких, как вредоносное ПО Pegasus-3, созданное NSO Group», с приложением к пресс-релизу, в котором далее говорится, что «эксперты сообщили, что наиболее вероятным объяснением аномального выхода данных было использование мобильного шпионского ПО, такого как Pegasus NSO Group или, что менее вероятно, Galileo от Hacking Team». В частности, Безос получил сообщение WhatsApp от наследного принца Саудовской Аравии Мохаммеда бен Салмана, которое содержало вредоносный файл, якобы являющийся видео, который при загрузке приводил к установке вредоносного ПО, подобно тому, как вредоносные вложения электронной почты часто приводят к тому, что пользователи непреднамеренно устанавливают вредоносное ПО на свои устройства. системы.

Поскольку вектор установки ESEM Pegasus, по сути, представляет собой целевую фишинговую кампанию, применяются все обычные советы, как избежать изощренных целевых фишинговых атак.

Комитет по защите журналистов (CPJ) выпустил рекомендации по безопасности, чтобы сохранять бдительность в отношении атак Pegasus, и классифицировал различные сообщения-приманки ESEM по различным категориям:

Сообщения якобы от известных организаций, таких как банки, посольства, информационные агентства или службы доставки посылок.
Сообщения, в которых утверждается, что они касаются личных вопросов, например предполагаемые доказательства неверности.
Сообщения, связанные с работой
Сообщения, в которых утверждается, что целевой человек сталкивается с непосредственной угрозой безопасности.

Чтобы избежать атак Pegasus ESEM, вам следует опасаться не только сообщений из этих категорий, но и любых сообщений, которые вообще содержат ссылку.

В будущих атаках ESEM могут использоваться различные типы сообщений-приманок.

Если вы получили сообщение со ссылкой, особенно если оно включает в себя срочность (например, сообщение о том, что посылка скоро прибудет или вы можете пропустить последнюю новость, или проблемы с вашей кредитной картой), избегайте импульса немедленно щелкнуть по нему.
Если ссылка якобы ведет на известный сайт, еще раз проверьте, действительно ли ссылка ведет на этот сайт. В некоторых случаях это можно обнаружить: например, если в ссылке есть опечатка, то есть если в ссылке используются разные буквы в разных наборах символов, которые выглядят одинаково (атака омографа), например, кириллица «О» используется для имитации латинской буквы «О».
Если ссылка выглядит сокращенным URL-адресом, используйте службу расширения URL-адресов, чтобы выявить фактическую ссылку, на которую указывает сокращенный URL-адрес, прежде чем нажимать на сокращенную ссылку.
Подтвердите, что человек, который, по вашему мнению, отправил вам ссылку, действительно отправил вам ссылку, чтобы убедиться, что его учетная запись не была взломана или номер телефона подделан. Вы можете сделать это с помощью внеполосной проверки, что означает использование другого канала связи для проверки подлинности сообщения. Например, если ссылка пришла через текстовое сообщение или сообщение электронной почты, позвоните отправителю. Но это работает, если вы знаете человека, отправившего ссылку.
Если вы все еще чувствуете, что есть веская причина для открытия ссылки, попробуйте разделить устройства на разделы, используя дополнительное устройство, на котором нет конфиденциальной информации. Имейте в виду, что если вторичное устройство заражено, оно все равно может использоваться в качестве устройства наблюдения, когда шпионское ПО активирует свой микрофон или камеру. Храните вторичное устройство в сумке Фарадея, когда оно не используется, и регулярно выполняйте сброс до заводских настроек.
Используйте браузеры, отличные от стандартных. Согласно разделу «Ошибка установки» в просочившейся документации Pegasus, установка может завершиться ошибкой, если на целевой машине запущен неподдерживаемый браузер; в частности, установка Pegasus завершится неудачно, если «браузер устройства по умолчанию был ранее заменен целевым. Установка из браузеров, отличных от используемого по умолчанию (а также Chrome для устройств на базе Android), системой не поддерживается». Однако, поскольку документации уже шесть лет, нет никаких гарантий, что Pegasus не эволюционировал для поддержки других браузеров.
Если возникают какие-либо сомнения по поводу ссылки, самая безопасная мера безопасности — не открывать ссылку на целевом устройстве, чтобы предотвратить риск заражения через вектор установки ESEM.

Тактический сетевой элемент

Другой способ, которым NSO Group может заразить ваш телефон с помощью Pegasus, — это перехват сетевого трафика вашего телефона с помощью атаки «человек посередине» (MITM), а затем перенаправление незашифрованного сетевого трафика (например, HTTP) для загрузки вредоносной полезной нагрузки и компрометации целевого устройства. Чтобы перехватить сетевой трафик на телефоне, злоумышленнику необходимо либо обманом заставить целевой телефон подключиться к устройству MITM, которое физически находится поблизости, либо получить доступ к оператору сотовой связи для выполнения перехвата из собственной сети оператора.

«Тактический сетевой элемент» указан как вектор установки «с ограниченным радиусом действия», что означает, что он требует близости к цели. В частности, «Агент Пегаса может быть незаметно введен после получения номера с использованием тактического сетевого элемента, такого как базовая приемопередающая станция (BTS)».

В январе 2020 года Business Insider опубликовал фотографию тактического сетевого элемента, демонстрируемого NSO Group, сделанную на конференции по безопасности Milipol в Париже в 2019 году. Устройство было выставлено в будке, напоминающей заднюю часть фургона, и помещено в сумку для переноски, якобы для рекламы портативности устройства.

Увеличение масштаба этикеток различных компонентов устройства на фотографии Insider дает дополнительные доказательства того, что устройство является именно таким тактическим сетевым элементом, описанным в брошюре NSO Group — базовой приемопередающей станцией с ячейками «Femto X2» и « 3G B1 ”, что указывает на то, что NSO, по крайней мере, имеет возможность контролировать соединения 3G: хотя тематические исследования, обсуждаемые ниже, как представляется, указывают на то, что соединения 4G / LTE в настоящее время также могут быть перехвачены.

Компоненты «устройства взлома» NSO в увеличенном масштабе, демонстрирующие потенциальные возможности сотовой связи.

Amnesty International сообщила о двух случаях потенциального использования вектора установки тактического сетевого элемента в предполагаемых атаках Пегаса. В следующих тематических исследованиях атаки MITM перехватывали незашифрованный HTTP-трафик и перенаправляли его на вредоносные веб-сайты, а не на реальные сайты, на которые пытались перейти цели.

Атаки MITM особенно коварны, потому что если вы просто вводите имя домена в веб-браузере, по умолчанию сначала выполняется попытка незашифрованного HTTP-соединения, которое затем может перенаправить на HTTPS-соединение, но этого первого HTTP-соединения достаточно для атаки MITM. захватить и перенаправить соединение.

В 2019 году Amnesty International , анализируя историю просмотров Safari на iPhone Маати Монджиба (Монджиб является соучредителем неправительственной организации Freedom Now и Марокканской ассоциации журналистских расследований), обнаружила необычные шаблоны просмотра. Когда он открыл браузер iPhone Safari и набрал yahoo.fr , Safari сначала попытался перейти на http://yahoo.fr, который обычно перенаправлялся на https://fr.yahoo.com ; однако соединение Монджиба было перехвачено, вместо этого оно перенаправлялось на вредоносный сторонний сайт, который в конечном итоге взломал его телефон.

MITM вместо того, чтобы организовать атаку перехода на более раннюю версию, в первую очередь предотвратил обновление соединения до HTTPS.

С 2019 по 2020 год марокканский журналист и активист Омар Ради подвергался нападениям так же, как и Монджиб, причем анализ его iPhone также указывал на перенаправление вредоносных веб-сайтов.

Хотя в тематических исследованиях неясно, были ли атаки совершены с помощью тактического сетевого элемента или с помощью наблюдения, которое осуществлялось в самой инфраструктуре оператора связи, превентивные меры по защите сетевого трафика такие же. Ввод в адресную строку браузера только домена веб-сайта (например, yahoo.fr ) без указания обозначения протокола (например, https: // ) открывает возможность для атак MITM, если веб-сайт не использует HTTP Strict Transport Security ( HSTS ), и даже если это так, есть крайние случаи, когда веб-сайт все еще может быть уязвим для атак MITM, например, если это первый раз, когда этот веб-сайт посещается в браузере, и этот веб-сайт не включен в список предварительной загрузки HSTS браузера.

Альтернативой громоздкой и не совсем эффективной контрмере постоянного ввода https: // является использование виртуальной частной сети ( VPN ) как на настольных, так и на мобильных устройствах. VPN надежно туннелирует все подключения к VPN-серверу, который затем получает доступ к веб-сайтам от вашего имени и ретранслирует их вам. Это означает, что тактический сетевой элемент, скорее всего, не сможет выполнить успешную атаку MITM, поскольку ваше соединение с VPN зашифровано.

Однако, если вы используете VPN, ваш провайдер VPN имеет возможность шпионить за вашим интернет-трафиком, поэтому важно выбрать надежного. Wirecutter публикует регулярно обновляемое подробное сравнение поставщиков VPN на основе их истории сторонних аудитов безопасности, их политик конфиденциальности и условий использования, безопасности используемой технологии VPN и других факторов.

Физический доступ

«Физический» вектор установки, как следует из названия, требует физического доступа к целевому устройству. Согласно брошюре NSO: «Когда возможен физический доступ к устройству, агент Pegasus может быть вручную введен и установлен менее чем за пять минут», хотя неясно, нужно ли разблокировать телефон или могут ли сотрудники NSO например, чтобы заразить даже телефон, защищенный PIN-кодом.

Похоже, что нет известных случаев, когда NSO Group развертывала вектор физической установки, хотя такую атаку может быть трудно обнаружить. Однако есть случаи, когда исследователи, работающие над разоблачением шпионского ПО NSO, были приглашены на личные встречи под ложным предлогом.

Юристы, работающие над судебным иском против NSO Group, также были привлечены просьбами о личных встречах), что могло создать возможности для потенциального взлома физического устройства (нет никаких доказательств того, что они действительно это сделали).

Чтобы предотвратить физические атаки на устройства, всегда следует поддерживать линию прямой видимости с устройством. Если устройство когда-либо исчезнет из поля зрения — вне поля зрения таможенного агента или оставлено на обеденном столе во время посещения туалета — то оно может быть скомпрометировано из-за вектора физической установки.

Если какое-либо устройство необходимо оставить без присмотра, например, положить в шкафчик во время визита в посольство или оставить в номере отеля, устройство следует поместить в защитную сумку. Хотя это не предотвратит взлом устройства, оно, по крайней мере, обеспечит готовность к оповещению о том, что устройство было извлечено из мешка для вскрытия и могло быть взломано, после чего устройство больше не должно использоваться.

Помимо мешков для вскрытия, разделение устройств на отсеки также следует практиковать при входе в потенциально враждебную среду, такую как правительственные здания, такие как посольства и консульства, или при прохождении пограничных контрольно-пропускных пунктов. Во время путешествий или посещения правительственных зданий в идеале следует использовать дорожные и посольские телефонные аппараты вместо основных повседневных устройств.

Подводя итог, ключевой вывод из этого анализа тематических исследований векторных инсталляций Pegasus заключается в том, что успех инсталляций Pegasus может быть ограничен развертыванием базовых процедур безопасности в вашем рабочем процессе, таких как предотвращение нажатия на подозрительные ссылки, разделение устройств и использование надежных VPN на всех устройствах. Pegasus использует сложные векторы заражения нулевого дня, чтобы внедрить свое шпионское ПО на мобильные устройства, но это заражение зависит от векторов установки, от которых можно защититься.