От лица Matthias Frielingsdorf, Co Founder & iOS Security Researcher для IVerify
На протяжении многих лет наше понимание угроз, связанных с мобильными устройствами, основывалось на опасно узкой основе. Исследования мобильных вредоносных программ ограничивались микроскопической выборкой устройств — как правило, тех, что принадлежали целям повышенного риска, таким как журналисты, политические активисты и государственные служащие. Эти ранние исследования были критически важными для понимания нового уровня угроз, однако их ограниченный характер оставил огромную «слепую зону» в осознании масштаба угроз для мобильных устройств.
Представьте, что вы пытаетесь понять весь океан, исследуя всего лишь одну ложку воды. Такова была ситуация с безопасностью мобильных устройств. Исследования были дорогими, времязатратными и доступны лишь ограниченному кругу людей с особыми судебно-экспертными навыками и большими ресурсами. Каждое исследование обычно охватывало всего несколько устройств, зачастую уже выбранных, поскольку они подозревались в компрометации.
Результат? Фундаментально искажённое восприятие безопасности мобильных устройств. Шпионские программы, такие как Pegasus, воспринимались как редкая, целенаправленная угроза — что-то, что может затронуть членов гражданского общества, высокопрофильных руководителей или политических представителей, но уж точно не обычных бизнес-профессионалов или пользователей смартфонов. Мы рассказывали себе удобные истории о редкости этих угроз, не пытаясь по-настоящему понять ситуацию.
Наш подход в iVerify был простым, но революционным: что если мы могли бы демократизировать охоту на угрозы для мобильных устройств? Что если каждый пользователь смартфона мог бы провести профессиональное сканирование безопасности всего за пять минут?
В мае 2024 года мы сделали именно это.
iVerify запустил функцию Mobile Threat Hunting, которая провела исследование, раскрывающее критические данные о текущем состоянии безопасности мобильных устройств. Наше первоначальное исследование включало 2500 устройств, самостоятельно отсканированных нашими пользователями, и привело к новым детекциям теперь уже знаменитой мобильной шпионской программы Pegasus.
Что произошло дальше, стало настоящим открытием. В рамках запуска функции мы предложили нашим пользователям один раз провести охоту на угрозы с помощью нашего приложения iVerify. К нашему удивлению, без единой рекламы 2500 наших пользователей согласились провести сканирование своих устройств. (Примечание: если вы являетесь текущим пользователем приложения iVerify, вы все ещё можете пройти этот скан. Если нет, скачайте приложение и сканируйте своё устройство). Результаты этих сканирований подтвердили то, что мы уже подозревали: если искать — вы найдете. Мы обнаружили семь заражений Pegasus — число, которое может показаться небольшим, но это огромный сигнал тревоги в мире мобильной безопасности.
Это были не только свежие заражения. Наш анализ показал сложную хронологию компрометаций: одно заражение с конца 2023 года на iOS 16.6, другое потенциальное заражение Pegasus в ноябре 2022 года на iOS 15 и пять более старых заражений, датируемых 2021 и 2022 годами на iOS 14 и 15. Каждое из этих устройств могло быть тихо подслушано, данные были скомпрометированы без ведома владельца.
Это открытие подтвердило нашу гипотезу о широком распространении шпионского ПО на мобильных устройствах — оно скрывается на виду и не обнаруживается традиционными средствами безопасности.
Наше исследование показало, что на каждые 1000 сканирований было найдено 2,5 зараженных устройства — это значительно выше, чем в любых ранее опубликованных отчетах. Однако важно понять контекст этих данных:
Это было не просто техническое достижение. Это был фундаментальный сдвиг в нашем подходе к мобильной безопасности — возвращение власти пользователям, один пяти минутный скан за раз.
Как сказал Пауэрс: «Вы не можете увидеть то, чего не понимаете. Но то, что вы думаете, что уже понимаете, вы не заметите». Как индустрия, мы считаем, что безопасность мобильных устройств на хорошем уровне, но если бы мы потратили немного времени, чтобы проверить устройства, мы бы поняли, что угроза гораздо серьёзнее, чем мы думали.
Хорошая новость заключается в том, что мы создали возможность делать это в масштабе и при соблюдении конфиденциальности. Наши расследования раскрывают критическую истину: мы не можем понять масштаб угроз для мобильных устройств, пока не будем смотреть внимательно. iVerify привержен тому, чтобы выводить эти скрытые угрозы на свет и защищать отдельных пользователей и организации в мире, который становится всё более сложным в цифровом плане.
На протяжении многих лет наше понимание угроз, связанных с мобильными устройствами, основывалось на опасно узкой основе. Исследования мобильных вредоносных программ ограничивались микроскопической выборкой устройств — как правило, тех, что принадлежали целям повышенного риска, таким как журналисты, политические активисты и государственные служащие. Эти ранние исследования были критически важными для понимания нового уровня угроз, однако их ограниченный характер оставил огромную «слепую зону» в осознании масштаба угроз для мобильных устройств.
Представьте, что вы пытаетесь понять весь океан, исследуя всего лишь одну ложку воды. Такова была ситуация с безопасностью мобильных устройств. Исследования были дорогими, времязатратными и доступны лишь ограниченному кругу людей с особыми судебно-экспертными навыками и большими ресурсами. Каждое исследование обычно охватывало всего несколько устройств, зачастую уже выбранных, поскольку они подозревались в компрометации.
Результат? Фундаментально искажённое восприятие безопасности мобильных устройств. Шпионские программы, такие как Pegasus, воспринимались как редкая, целенаправленная угроза — что-то, что может затронуть членов гражданского общества, высокопрофильных руководителей или политических представителей, но уж точно не обычных бизнес-профессионалов или пользователей смартфонов. Мы рассказывали себе удобные истории о редкости этих угроз, не пытаясь по-настоящему понять ситуацию.
Наш подход в iVerify был простым, но революционным: что если мы могли бы демократизировать охоту на угрозы для мобильных устройств? Что если каждый пользователь смартфона мог бы провести профессиональное сканирование безопасности всего за пять минут?
В мае 2024 года мы сделали именно это.
iVerify запустил функцию Mobile Threat Hunting, которая провела исследование, раскрывающее критические данные о текущем состоянии безопасности мобильных устройств. Наше первоначальное исследование включало 2500 устройств, самостоятельно отсканированных нашими пользователями, и привело к новым детекциям теперь уже знаменитой мобильной шпионской программы Pegasus.
Демократизация обнаружения угроз для мобильных устройств: Неожиданный путь
Когда мы запустили функцию Mobile Threat Hunting, мы не знали, что оспорим все, что технологический мир думал о безопасности мобильных устройств. Мы создали решение, которое поставило мощное обнаружение угроз прямо в руки пользователей — полный скан на угрозы, который занимает всего пять минут, прямо на их смартфоне.Что произошло дальше, стало настоящим открытием. В рамках запуска функции мы предложили нашим пользователям один раз провести охоту на угрозы с помощью нашего приложения iVerify. К нашему удивлению, без единой рекламы 2500 наших пользователей согласились провести сканирование своих устройств. (Примечание: если вы являетесь текущим пользователем приложения iVerify, вы все ещё можете пройти этот скан. Если нет, скачайте приложение и сканируйте своё устройство). Результаты этих сканирований подтвердили то, что мы уже подозревали: если искать — вы найдете. Мы обнаружили семь заражений Pegasus — число, которое может показаться небольшим, но это огромный сигнал тревоги в мире мобильной безопасности.
Это были не только свежие заражения. Наш анализ показал сложную хронологию компрометаций: одно заражение с конца 2023 года на iOS 16.6, другое потенциальное заражение Pegasus в ноябре 2022 года на iOS 15 и пять более старых заражений, датируемых 2021 и 2022 годами на iOS 14 и 15. Каждое из этих устройств могло быть тихо подслушано, данные были скомпрометированы без ведома владельца.
Это открытие подтвердило нашу гипотезу о широком распространении шпионского ПО на мобильных устройствах — оно скрывается на виду и не обнаруживается традиционными средствами безопасности.
Наше исследование показало, что на каждые 1000 сканирований было найдено 2,5 зараженных устройства — это значительно выше, чем в любых ранее опубликованных отчетах. Однако важно понять контекст этих данных:
- Целевая выборка: Эти 2500 устройств представляют собой популяцию, наиболее подверженную атакам с использованием продвинутого шпионского ПО.
- Невселенская репрезентативность: Эта выборка не представляет все устройства iVerify.
- Высокий риск: Устройства принадлежат журналистам, государственным служащим и корпоративным руководителям.
Это было не просто техническое достижение. Это был фундаментальный сдвиг в нашем подходе к мобильной безопасности — возвращение власти пользователям, один пяти минутный скан за раз.
Понимание Pegasus: Сложный инструмент слежки
Разработанный группой NSO, также известной как Rainbow Ronin, Pegasus представляет собой вершину технологий инвазивного шпионского ПО:- Полный контроль над устройством: Доступ к сообщениям, электронной почте, журналам звонков, фотографиям.
- Атаки без кликов: Инфекция без взаимодействия с пользователем.
- Уязвимости операционной системы: Эксплойты для iOS и Android.
Исследования iVerify
Наше расследование в мае 2024 года выявило несколько вариантов Pegasus:- 5 уникальных типов вредоносных программ для iOS и Android
- Судебные артефакты, обнаруженные в:
- Диагностических данных
- Логах выключения
- Логах сбоев
Почему охота на угрозы для мобильных устройств имеет значение
Традиционные модели безопасности не способны улавливать все нюансы угроз для мобильных устройств. Ранее детекции Pegasus были редкостью из-за отсутствия эффективных решений для их выявления, но с улучшением методов обнаружения и устранения угроз мы считаем, что компрометаций гораздо больше, чем это принято считать.Как сказал Пауэрс: «Вы не можете увидеть то, чего не понимаете. Но то, что вы думаете, что уже понимаете, вы не заметите». Как индустрия, мы считаем, что безопасность мобильных устройств на хорошем уровне, но если бы мы потратили немного времени, чтобы проверить устройства, мы бы поняли, что угроза гораздо серьёзнее, чем мы думали.
Хорошая новость заключается в том, что мы создали возможность делать это в масштабе и при соблюдении конфиденциальности. Наши расследования раскрывают критическую истину: мы не можем понять масштаб угроз для мобильных устройств, пока не будем смотреть внимательно. iVerify привержен тому, чтобы выводить эти скрытые угрозы на свет и защищать отдельных пользователей и организации в мире, который становится всё более сложным в цифровом плане.
