Vasárnap este robbant ki az év egyik legnagyobb sztorija: egy izraeli cég kémszoftverével számos politikust, újságírót, jogvédőt figyeltek meg világszerte, és a jelek arra mutatnak, hogy Magyarországon az Orbán-kormány is vásárolt az NSO nevű cég Pegasus-ra keresztelt szoftveréből, mellyel például Simicska Lajos fiát, a NER által sokat támadott Varga Zoltánt, a Centrál Médiacsoport tulajdonosát és négy magyar kritikus/oknyomozó újságírót is célba vettek.
A megfigyelt újságírók között volt a Direkt36-os Panyi Szabolcs is, aki most a Telexen megjelent cikkben ír arról, mit tanult a saját telefonjának átvizsgálásából.
Így férkőznek a telefonunkba
Panyi szerint a Pegasus a legnépszerűbb appok még nem ismert sérülékenységein keresztül férkőzik be a telefonba, illetve úgy, hogy üzenetben megtévesztő link érkezik, és azt a telefontulajdonos megnyitja. Ez jöhet SMS-ben, de egyéb, megszokott üzenetküldő megoldással is. A legnépszerűbb appok között ott van például a WhatsApp, az iMessage és a Facetime. A kémprogram telepítése után a Pegasussal minden olyan információhoz hozzáférhet a megfigyelést végző személy, amihez a telefon tulajdonosa is hozzáfér.
Ezt tehetjük ellene
A Pegasus észrevétlenül, akadály nélkül be tud jutni egy átlagos készülékbe, de az operációs rendszer frissítése, illetve akár a telefon ki-be kapcsolása is megszakíthatja a kémszoftver háttérfolyamatait. Ez nem azt jelenti, hogy onnantól biztonságban lenne a készülék, csak azt, hogy esetleg egy új behatolás elindítására van szükség.
A legnépszerűbb kommunikációs appok hanyagolása is adhat valamekkora védelmet. Érdemes lehet ezeket az appokat inkább kevésbé elterjedt alternatívákkal helyettesíteni, hiszen kisebb az esélye, hogy akár az NSO, akár más kémszoftvergyártó esetleg már azoknak a gyengeségeit is feltérképezte.
Az adataink és üzeneteink lehetőleg ne egy vagy néhány, hanem sok, egymástól független helyen, csatornán, applikáción legyenek. Különböző készülékeken ugyanarra a célra különböző megoldásokat használjunk. Legyen jó sok accountunk más-más jelszóval.
Ahová lehet, ne vigyünk magunkkal telefont vagy bármilyen más, sim-kártyával ellátott eszközt, és a legbizalmasabb dolgokat kizárólag személyesen beszéljük meg. Ha pedig valamit le kell jegyezni, maradjunk a papírnál.
Azt sajnos nagy valószínűséggel nem tudjuk megállapítani, hogy feltörték-e a telefonunkat, így a legjobb, ha maga a behatolás ellen próbálunk meg védekezni, hangsúlyozza a Washington Post (WP) is, mely újságírói szintén részt vettek a Pegasus-sztorit feltáró nemzetközi oknyomozásban. A WP alapvető tanácsai a következők:
- ők is kiemelik a folyamatos szoftverfrissítés fontosságát - a legjobb talán beállítani az operációs rendszer és az applikációk automatikus frissítését (az öt évnél régebbi eszközök különösen sérülékenyek)
- minden készülékre és általunk látogatott weboldalra vagy applikációra egyedi, nehezen kitalálható jelszót állítsunk be, és kerüljük a könnyen kitalálható kódokat (születésnap, telefonszám, háziállatok neve, stb.) - segíthetnek ebben a különböző jelszókezelő programok, mint például a LastPass, 1Password és a KeePassX
- érdemes mindenhol beállítani a kétlépcsős azonosítást, tehát hogy csak úgy tudjunk belépni mondjuk a levelező programunkba, hogy a jelszó megadása után be kell írnunk egy másik kódot egy ilyen célt szolgáló applikációból (például Google Authenticator vagy Duo Mobile)
- és persze ügyeljünk arra, hogy ne klikkeljünk gyanús linkekre, és az üzenetküldő programokban állítsuk be azt, hogy az üzenetek törlődjenek automatikusan egy bizonyos idő után
(Direkt36/Telex)
