В июле 2021 года Центр по исследованию коррупции и организованной преступности (OCCRP) вместе с 16 медиа в разных странах начал публиковать проект, рассказывающий об израильском программном обеспечении Pegasus, с помощью которого в десятке стран мира велась слежка за телефонами журналистов, активистов и политиков. Казахстан оказался в числе этих стран (2000 казахстанских номеров, включая, например Аскара Мамина и даже Касым-Жомарта Токаева). И можно предположить, что едва ли слежка закончится на этом, а список имён людей, за которыми следили, наверняка не полон. Поэтому предлагаем вам инструкцию, которая поможет вам самостоятельно узнать, подвергался ли ваш смартфон атаке Pegasus (и не только).
Проверять будем с помощью Mobile Verification Toolkit (MVT). Это инструмент, разработанный Amnesty International, и позволяет он обнаружить не только Pegasus, но и ряд других атак, в том числе, анализируя ваш трафик с мобильного, SMS, сообщения в мессенджерах, историю звонков. Так как более всего подвержены атакам устройства под iOS, то сконцентрируемся на них.
Дисклеймер: Инструмент проверки предназначен для пользователей, хотя бы базово работающих с кодом, знакомых с UNIX-системами и работой с командной строкой. Если это не про вас, то мы рекомендуем попробовать найти среди ваших знакомых эксперта по цифровой криминалистике или просто старого доброго «линуксоида» (пользователя с опытом работы с операционными системами Linux). В идеале — которому вы доверяете, и который сможет понять более подробную инструкцию от создателей инструмента на английском.
Однако, если такого доверенного знакомого нет, а на вашем устройстве есть чувствительный контент, и вы хотите максимально исключить риск его утечки, то следуйте инструкциям ниже. Мы постарались сделать их максимально понятными даже для тех, кто привык к решениям, работающим «из коробки».
Как проверить наличие Pegasus с помощью Mac или Linux
Для начала вам нужно скачать ряд пакетов. Проще всего это (как и все остальные действия) сделать в Терминале с помощью командной строки. Для пользователей Linux терминал едва ли не повседневная программа для работы. Для маководов впервые слышащих о Терминале — его можно найти через поиск программ в Launchpad
Далее — алгоритмы установки программ и создания бэкапов на Linux и Mac.
Установка и бэкап на Linux
Введите в терминале следующие команды (скопируйте команды с этой страницы в терминал):
sudo apt install python3 python3-pip libusb-1.0-0 sqlite3
sudo apt install libimobiledevice-utils
sudo apt install android-platform-tools-base
pip3 install mvt
Если у вас iPhone, подключите его к компьютеру и сделайте копию с помощью команды
idevicebackup2 backup --full /path/to/backup/
где /path/to/backup/ — это путь к папке с вашим бэкапом, сделайте его простым, например, поместите в корень, в новую папку подназванием /test, тогда команда будет иметь примерно такой вид
idevicebackup2 backup --full /test/bcp
(значок “/” в этой команде служит разделительным знаком между папками)
Установка и бэкап на Mac
Нам понадобятся пакеты xcode и brew, вводим в терминал следующее (после каждой команды жмём ввод и ждём, пока пакеты установятся):
xcode-select --install
curl -fsSL -o install.sh https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh
устанавливаем пакеты для iOS и Android
brew install python3 libusb sqlite3
brew install --HEAD libimobiledevice
brew install --cask android-platform-tools
pip install mvt
Для начала сделайте бэкап в помощью iTunes
Затем найдите вашу папку с бэкапом в Finder
И скопируйте папку с бэкапом в более удобное для проверки место, например, в свою папку пользователя, это понадобится, чтобы упростить доступ к ней. Например, вот так (папка с бэкапом на скриншоте переименована в /sep2021)
Процесс проверки iPhone (не отличается на Linux и Mac)
Там же в терминале вначале вводим команду для расшифровки бэкапа (с паролем, который вы используете для шифрования)
mvt-ios decrypt-backup -p вашпароль -d decrypt ~/путькпапке/вашегобэкапа
У вас появится папка с рашифрованным бэкапом. Проверяем его командой
mvt-ios check-backup ~/путькпапке/срасшифрованнымбэкапом
Собственно, при выполнении последней команды в терминале будут подсвечены все критические моменты. Вы увидите, была ли атака на какие-либо программы и файлы, а также все сомнительные переходы в вашем браузере, которые могут свидетельствовать об атаках. Пример вывода информации на скриншоте ниже, потенциальные риски обозначены предупреждением (WARNING)
Для дополнительной проверки конкретно на Pegasus нужно скачать в папку загрузок файл pegasus.stix2 отсюда, и запустить следующую команду
mvt-ios check-backup -o logs --iocs ~/Downloads/pegasus.stix2 ~/путькпапке/срасшифрованнымбэкапом
Тогда вы увидите в терминале больше информации.
Процесс проверки смартфона на Android
Подключите смартфон к компьютеру через USB, проверьте, видит ли его компьютер с помощью команды
adb devices
и если всё в порядке, запустите Android Debug Bridge (adb)
mvt-android check-adb --output /path/to/results
Важно! У вас должен быть root доступ к смартфону. Не включайте его, если не знаете, что это такое. Проконсультируйтесь со специалистом.
Более подробные инструкции для Android вы можете найти тут.
Как проверить наличие Pegasus с помощью Windows
Пользователи самой популярной операционной системы, как обычно, немного в стороне, поскольку значительная часть подобных технологий создаётся для линукс-платформ. Поэтому придётся немного потанцевать с бубном, то есть либо установить второй системой Linux, либо установить виртуальную машину и на ней провести те же манипуляции, что описаны для линуксов в первом блоке этой статьи. Если вы не опытный пользователь Windows, то без помощи профессионала вам, к сожалению, не обойтись. Но после установки второй системы или виртуальной машины вы сможете самостоятельно воспользоваться инструкцией, описанной в этой статье.
Для того что бы оставить комментарий необходимо авторизоваться.