Israelsk spyware overvågede iPhones totalt med et klik

Den mest sofistikerede spyware, cybersikkerhedsfirmaet Lookout har set, har kunnet overvåge iPhones totalt. Apple har efter ti dages kamp nu formået at lukke de tre sikkerhedshuller, spywaren udnyttede.

Iphones har været i fare for at blive overvåget af det, som cybersikkerhedsfirmaet Lookout kalder for ’den mest sofistikerede spyware-pakke, vi har set’. Det skriver BBC, som også skriver, at spyware ifølge analytikere stammer fra et israelsk firma.

Apple har dog netop udgivet en iOS-opdatering, som beskytter telefoner mod spywaren.

Kræver kun et klik på et link

Ahmed Mansoor - en 46-årig menneskerettighedsaktivist og advokat fra De Forenede Arabiske Emirater - lugtede røg om morgenen den 10. august, da han modtog en SMS fra et ukendt nummer.

»Nye hemmeligheder om tortur i fængsler i Emiraterne,« stod der ifølge mediet Motherboard efterfulgt af et link.

Dagen efter fik han en ny SMS af samme type med et link. Havde Ahmed Mansoor trykket på et af de to links, ville spyware-pakken have installeret sig selv på hans iPhone og udnytte tre sikkerhedshuller til at overvåge … tæt på alt.

Ahmed Mansoor var mistænksom over for SMS'erne og gav dem videre til cybersikkerhedsfirmaet Citizen Lab, der i samarbejde med cybersikkerhedsfirmaet Lookout undersøgte sagen.

»En digital spion i lommen«

»Hvis Mansoors telefon blev inficeret, ville den blive til en digital spion i hans lomme, der er i stand til at tilgå iPhonens kamera og mikrofon for at spionere på aktivitet nær enheden, optage hans WhatsApp- og Viber-opkald, logge beskeder fra mobilens chat-apps og spore hans bevægelser,« siger Citizen Lab ifølge BBC.

Det har taget Apple ti dage, efter de blev advaret om spywaren, at kreere patches, der lukker de tre sikkerhedshuller.

Israelsk gruppe står bag

Selve spywaren mener Lookout og Citizen Labs analytikere stammer fra israelske NSO Group, som kalder spywaren for Pegasus.

Analytikerne beskriver NSO Group som en våbenhandler i cyberkrig. Firmaet selv betegner sig som et ’spøgelse i enheder’.

Ifølge The Wall Street Journal har NSO Group solgt sine produkter over hele verden – heriblandt til den mexicanske regering. Det er uvist, hvilke andre kunder firmaet har, men dets værdi skulle være på den gode side af 1 billion amerikanske dollars, skriver BBC.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

Det at klikke på ukendte link – er aldrig godt, Uanset om det er en telefon eller ej.

Dog kan man godt forsvarer en inficeret telefon. Langt det meste malware vil helst sende deres data om natten når telefonen ligger til opladning og hvor telefonen er på WiFi, for hvis ens telefon hurtigt taber strøm og ens data er opbrugt på en brøkdel af tiden, så bliver brugeren hurtigt mistænkelig. Det vil angriberne helst undgå – idet ingen spioner bryder sig om at blive opdaget.

Tricket er at benytte en app som måler på dataforbindelsen som f.eks. ”My Data Manager” til IOS. Langt det meste malware tester for de kendte apps til at måle på dataforbindelser. Det tvinger angriberen til at vælge imellem at ”lade telefonen være” eller risiker opdagelse, når data appen pludselig måler aktivitet på usædvanlige tidspunkter.

Og så må det være surt for den hacker som troede at han skulle have 3 * 1.000.000 USD, men nu får en lang næse, fremfor de 3 * 200.000 USD Apple ville have betalt ham for hans zero-days exploits.

  • 5
  • 1
Simon Bjørnes

Endnu engang er er jeg mistænksom på Amerikanske firmaer.

Hvordan kan det kun tage 10 dage at patche hele 3 0 dag huller når normalen for firmaerne altid har været mindst 120 dage?

Det er næsten som om at de seneste NSA fund og nu Israelsk som jo er kendt sammenarbejdes partner med NSA er hyldevare/beviste huller hvor patchen kun har ventet på at hullet skulle blive opdaget.

  • 3
  • 3
Lars Nielsen

De 3 zero days som er blevet fikset i den opdatering der kom i gaar, er rimelig gamle, saa vidt jeg ved har i hvert fald en af dem eksisteret siden iOS 7, saa tror ikke det har taget 10 dage.
Tror bare apple har speeded op udvikling af de updates der skulle fikse dem, efter det blev offentlig kendt at de eksistere.

Mine kilder er macrumors og 9to5mac som begger stater i deres version af historien, at en af de her zero days har eksistere siden iOS 7

  • 4
  • 0
Lasse Nielsen

Hvor foreslår man rettelser?

Når BBC eller amerikansk medie skriver 1 billion. Så er det på det, der hedder short scale. Som er million, billion, trillion etc.

I Danmark og mange andre EU lande kører vi long scale. Med andre ord; million, milliard, billion billiard, trillion, trilliard.

Så der altså på dansk tale om 1 mia USD og IKKE 1 bn USD

  • 14
  • 0
René Nielsen

Tror bare apple har speeded op udvikling af de updates der skulle fikse dem, efter det blev offentlig kendt at de eksistere.


Jeg tror du har ret i Apple har sat fart og også i at Apple formentlig kender til upatchede svagheder.

Det interessante ved artiklen er dog ikke de to detaljer.

Det interessante er, at man går direkte efter menneskerettighedsaktivister og lignende personer. Det er hverken terrorister, pædofile, kriminelle eller lignende personligheder.

De (NSO Group) påstår at de sælger deres produkter til regeringer som overholder loven!

Nu er menneskerettigheder sikkert en forbrydelse på linie med terror i visse lande, men min optik er dette beviset på hvorfor at man ikke skal udvikle bagdøre eller lignende teknologier, for når det kommer til stykket så er det ikke terrorister, pædofile eller kriminelle man vil overvåge. Det blot noget regeringen siger for at få nye beføjelser.

Det er civilbefolkningen som man i praksis overvåger. Og det tror jeg har trigget Apple.

  • 10
  • 1
Mogens Lysemose

Ja det er jo (desværre) helt normalt at de først speeder fejlrettelses-processen når de har beviser på at hullet "is exploited in the wild", dvs. det bliver udnyttet aktivt.
At det er offentligt kendt at "fejlen" er der er ikke nok.
At helbrede er åbenbart bedre end at forebygge når det kommer til profitvirksomheder som Apple, Google osv.

  • 2
  • 1
Anonym

Jeg ser ting der virker:
1. en opmærksom slutbruger, der bringer en mistanke til de rigtige (awareness)
2. en hurtig patch fra leverandøren
3. god og effektiv kommunikation til slutbrugerne, som immervæk skal tælles i millioner.

Bad guys er der også i morgen, men hvor må det være surt for dem at investere SÅ meget og stå med en lang næse SÅ hurtigt. Sådan skal det gøres.

  • 1
  • 0
Bent Jensen

Vil nu ikke komme efter Appel på grund af denne sag.
Fordi de sikkert er tvunget til det, hvis det var noget om sagen, og stadigt er langt bedre end mange større Android sælger.
Vil her bare nævne Samsung, som en af de meget, meget dårlige. Når man tænker på deres størrelse, og priserne på de selv ret nye telefoner, som ikke får opdateringer, eller får det meget sent.
Det virker mere som det er vigtigt for dem, at få så meget af deres eget skod software.

Men en grund til at fravælge Software og Hardware fra USA, og om mulig bruge Opensource. Det hjælper nok ikke på overvågningen her og nu, men på sigt kan et sådan fravalg af tilstrækkeligt mange personer, betyde at de det bliver så dyrt for dem at de må genoverveje Politiken.

Som når den nye Safe Harbor aftale falde igen, og Amerikanske firmaer tvinges til at behold data i EU, både juridisk og fysisk. Det er jo ikke os borger, firma eller stater i EU, som står med et problem, når det sker.
Konkurrence vil hurtigt gøre det lige så billigt, og meget mere sikkert i EU.

  • 0
  • 4
Dave Pencroof

Du klikker på "Julie Lykke-Nedergaard", vælger "Send mail til journalisten" og skriver det i en mail.


Regn dog ikke med at hun læser din pointe, eller tager den til sig, hun har vanvittigt travlt med at smide ufærdige-ukorrekte-googletranslatede artikler ud i medie-strømmen, som hun heller ikke læser korrektur på, Hun har dog delvis lært at linke til artiklernes oprindelse, en svag bedring !

  • 1
  • 3
Nicolai Larsen

Det interessante er, at man går direkte efter menneskerettighedsaktivister og lignende personer. Det er hverken terrorister, pædofile, kriminelle eller lignende personligheder.

De (NSO Group) påstår at de sælger deres produkter til regeringer som overholder loven!

Nu er menneskerettigheder sikkert en forbrydelse på linie med terror i visse lande, men min optik er dette beviset på hvorfor at man ikke skal udvikle bagdøre eller lignende teknologier, for når det kommer til stykket så er det ikke terrorister, pædofile eller kriminelle man vil overvåge. Det blot noget regeringen siger for at få nye beføjelser.

Det er civilbefolkningen som man i praksis overvåger. Og det tror jeg har trigget Apple.

Det er altså noget værre sludder, og i bedste konspirations-stil.

Du har absolut intet belæg for at sige han blev "angrebet" fordi han var menneskerettighedsaktivist, - måske han hvidvasker penge i sin fritid, måske han planlægger et statskup eller måske han er pædofil. Men ja, at du vælger en subjektiv "sandhed" passer nok bedst ind i dine konspirationsteorier, der så kan føde din propaganda om at det selvfølgelig er helt almindelige civile der er målet for overvågning, og slet ikke terrorister, pædofile, kriminelle m.m. Det er ødelæggende for den konstruktive debat når input kommer som propaganda og subjektive "sandheder".

  • 0
  • 3
Nicolai Larsen

Hvordan kan det kun tage 10 dage at patche hele 3 0 dag huller når normalen for firmaerne altid har været mindst 120 dage?

Det er næsten som om at de seneste NSA fund og nu Israelsk som jo er kendt sammenarbejdes partner med NSA er hyldevare/beviste huller hvor patchen kun har ventet på at hullet skulle blive opdaget.

Hvor har du de 120 dage fra?

Hvor lang tid det tager at patche afhænger vel af kompleksiteten, alvorligheden og "time to next scheduled patch". At fikse det på 10 dage er da ikke urealistisk, afhængig af scenariet, og de fleste firmaer kategoriserer sårbarheder og handler derefter.

  • 0
  • 2
Nicolai Larsen

Dog kan man godt forsvarer en inficeret telefon. Langt det meste malware vil helst sende deres data om natten når telefonen ligger til opladning og hvor telefonen er på WiFi, for hvis ens telefon hurtigt taber strøm og ens data er opbrugt på en brøkdel af tiden, så bliver brugeren hurtigt mistænkelig. Det vil angriberne helst undgå – idet ingen spioner bryder sig om at blive opdaget.

Tricket er at benytte en app som måler på dataforbindelsen som f.eks. ”My Data Manager” til IOS. Langt det meste malware tester for de kendte apps til at måle på dataforbindelser. Det tvinger angriberen til at vælge imellem at ”lade telefonen være” eller risiker opdagelse, når data appen pludselig måler aktivitet på usædvanlige tidspunkter.

Og så må det være surt for den hacker som troede at han skulle have 3 * 1.000.000 USD, men nu får en lang næse, fremfor de 3 * 200.000 USD Apple ville have betalt ham for hans zero-days exploits.

Dit indlæg hænger ikke helt sammen. Du skriver de fleste malware vil sende om natten, for spioner vil ikke opdages. Kun amatør malware vil sende om natten uden anden trafik, og jeg forbinder ikke spioner med amatører. Professionel malware vil sende data efter det mønster telefonen anvendes, så de bedre kan gemme deres trafik. Det er næsten lektion 1 for malware (udover amatørniveau). Hvis brugeren i forvejen har gang i en masse trafik, ser de ikke lidt fra eller til, evt. kan der anvendes piggybacking eller steganografi.

Så dit "enten-eller" eksempel passer kun på amatørmalware, og er i modsætning til spioner.

Samtidig ved jeg ikke hvor surt det er - en nylig artikel viste at exploit-sælgende firmaer ofte byder 3-4-5 gange så meget for exploits som producenterne, så der må jo være penge i det. Måske de allerede har tjent 3 x 5 mill dollars.

  • 1
  • 2
René Nielsen

Dit indlæg hænger ikke helt sammen. Du skriver de fleste malware vil sende om natten, for spioner vil ikke opdages. Kun amatør malware vil sende om natten uden anden trafik, og jeg forbinder ikke spioner med amatører. Professionel malware vil sende data efter det mønster telefonen anvendes, så de bedre kan gemme deres trafik. Det er næsten lektion 1 for malware (udover amatørniveau). Hvis brugeren i forvejen har gang i en masse trafik, ser de ikke lidt fra eller til, evt. kan der anvendes piggybacking eller steganografi.

Så dit "enten-eller" eksempel passer kun på amatørmalware, og er i modsætning til spioner.

Samtidig ved jeg ikke hvor surt det er - en nylig artikel viste at exploit-sælgende firmaer ofte byder 3-4-5 gange så meget for exploits som producenterne, så der må jo være penge i det. Måske de allerede har tjent 3 x 5 mill dollars.


Hvis du vil trække de oplysninger ud af telefonen (GPS, e-mail, voice, video) så er der tale om store datamængder som vil sluge batteri og dataabonnent meget hurtigt, hvis ikke der er opladning og WiFi på.

Tag den gratis udgave af Lookout – den logger de programmer som sender data og matcher trafikken opimod ”normal trafik adfærd” for de enkelte programmer og opdaterer løbende trafiksignaturen af enkelt programmer op imod Lookouts servere.

Dit spionprogram løber en betydelig risiko, hvis du vil overfører de trafikmængder som voice, GPS og video generer, lige under næsen af en app som lookout

Jf. det tilbud fra Zerodium (https://www.zerodium.com/ios9.html) som jeg har set, får du som hacker ikke pengene ”up-front” men fordelt ud over den periode du forpligtiger dig til (de kræver typisk at du vedligeholder dit hack i mindst et år).

Så hvis du har udsigt til en mio USD får du bagudbetalt USD 83K om måneden og spiller samtidig på at dit hack (og de andre hacks som andre hackere har solgt andre lyssky firmaer) udnytter den svaghed du fundet … ikke bliver opdaget. Den dag f.eks. Apple patcher dit hack, er pengestrømmen forbi.

Den almindelige danske forbruger er ligeglad når vi taler datasikkerhed, men tager du til Tyskland så ligger tilliden til politi og efterretningstjeneste på et lille sted, men deres politi har jo også tidligere heddet navne som Gestapo og Stasi.

Tager du lande i Mellemøsten eller lande med repressive regimer, så er der blandt ”dissidenter” en kultur for mistillid til myndighederne. De træner simpelthen hinanden i netsikkerhed og derfor vil selv små afvigelser i disse lande blive indrapporteret til grupper som Citizen Lab med henblik på analyse.

Du kan lave verdens bedste hack, men det nytter ikke noget hvis din kundes kunde med sin adfærd advarer de brugerne.

Jeg tror ikke på at nogen hackere har tjent det maksimale beløb - og det med en million USD er et rent mediestunt.

Der er i øvrigt nogen interessante detaljer i denne blog; https://blog.lookout.com/blog/2016/08/25/trident-pegasus/

  • 0
  • 1
Nicolai Larsen

Hvis du vil trække de oplysninger ud af telefonen (GPS, e-mail, voice, video) så er der tale om store datamængder som vil sluge batteri og dataabonnent meget hurtigt, hvis ikke der er opladning og WiFi på.

Tag den gratis udgave af Lookout – den logger de programmer som sender data og matcher trafikken opimod ”normal trafik adfærd” for de enkelte programmer og opdaterer løbende trafiksignaturen af enkelt programmer op imod Lookouts servere.

Dit spionprogram løber en betydelig risiko, hvis du vil overfører de trafikmængder som voice, GPS og video generer, lige under næsen af en app som lookout

Al malware løber jo en risiko, men til forskel fra dig, har jeg ikke så blind tro på en app som lookout. Lookout kan selvfølgelig snydes og/eller omgås, nøjagtig ligesom al anden sikkerhedssoftware de sidste 15 år.

Men du forstod ikke helt pointen med at tilpasse trafikken til brugerens/telefonens forbrugsmønster.. Hvis brugeren streamer en film, og malwaren for eks begrænser sin trafik med 5% af totalen, så vil brugeren aldrig opdage det på batteri eller trafikforbrug, idet han vil antage at det er hans streaming. Det er klart, hvis han ikke bruger sin telefon, at han vil blive mistænksom hvis dataforbrug steg og batteri pludselig blev drænet og det er derfor jeg skrev "amatør-malware".

Så er der også steganografi, hvilket ikke er optimalt ift store datamængder, men idet du nævner myndigheder, vil jeg forvente at voice bliver aflyttet direkte og ikke igennem malware. I al sin generalisering vil amatør-malware have andre mål end sofistikeret malware, og sofistikeret malware vil tage højde for sikkerheds-apps, samt skjule sin trafik.

Når man har lavet en malware, og inden man launcher den, tester man altid op imod alle eksisterende sikkerhedsprodukter, for at tjekke om den bliver "fanget". Jeg tør godt påstå, at der er flere penge at tjene på sine exploits ved at sælge dem til alle andre end producenten af den software der er ramt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize