Šias spragas aptikę saugumo ekspertai nurodė, kad jomis jau naudojosi programišių grupuotė „NSO Group“, kuri prekiauja įvairiais pažeidžiamumais ir kenkėjiškomis programomis.
Dabartiniu atveju įrankis, pavadinimu „Pegasus“, galėjo slapta sekti praktiškai visus „iPhone“ naudotojo veiksmus – registruoti skambučius, žinutes, el. laiškus, kalendoriaus įrašus, kontaktus, mygtukų paspaudimus, transliuoti garsą ir vaizdą bei daug kitų duomenų, kurie buvo persiunčiami ataką valdančiam asmeniui.
„Kiek mums žinoma, tai yra pirmas kartas, kai saugumo tyrėjai gavo „NSO Group“ šnipinėjimo programos kopiją ir sugebėjo ją išnagrinėti. Jie yra itin patyrę nusikaltėliai ir tai atspindi jų turima programinė įranga. Jie yra visiškai atsidavę vagystėms“, – teigė saugumo tyrimų kompanijos „Lookout“ viceprezidentas Mike'as Murray'us.
Minėtas spragas „Lookout“ aptiko kartu su kolegomis iš „Citizen Lab“ ir Toronto universiteto.
Šias spragas saugumo ekspertai atrado po to, kai į juos kreipėsi žinomas žmogaus teisių aktyvistas Ahmedas Mansooras. Jis persiuntė keletą įtarimą sukėlusių SMS žinučių, kurios buvo atsiųstos į jo „iPhone 6“.
Šiuos pranešimus jis gavo rugpjūčio 10–11 dienomis. Tuo metu jo telefone buvo įdiegta naujausia „iOS“ versija. Žinutėse buvo parašyta: „Naujos paslaptys apie Emyratų gyventojų kankinimus valstybiniuose kaleimuose“, bei pateikta nuoroda. „To man visiškai užteko, kad įsijungtų visi saugikliai“, – teigė A.Mansooras.
Tyrėjai nustatė, kad įsilaužėlių sukurta programinė įranga jiems suteikė visą prieigą prie įrenginio: jie galėjo ne tik gauti visus telefono duomenis, bet ir perimti jo valdymą.
Saugumo tyrėjams perdavus šiuos duomenis „Apple“, kompanija užlopė spragas per 10 dienų ir rekomenduoja visiems vartotojams įsidiegti naujausią „iOS“ versiją.
„Citizen Lab“ ir „Lookout“ ekspertai įspėja, kad „NSO Group“ gali būti atradę būdą, kaip „Pegasus“ panaudoti įsilaužimams į „Android“ ar kitas operacines sistemas.
Apie Izraelyje įsikūrusią „NSO Group“ žinoma nedaug. Jos „LinkedIn“ prodilyje nurodoma, kad grupuotė buvo įkurta 2010 metais ir turi nuo 201 iki 500 darbuotojų, tačiau kompanija neturi savo interneto svetainės ir neskelbia jokios informacijos.
Teigiama, kad jos pagrindiniai klientai yra įvairių šalių vyriausybės, o metinės pajamos siekia dešimtis milijonų dolerių.
Parengta pagal Wired.com ir Theverge.com inf.
