A Pegasus kémszoftver – más néven Pegasus kémprogram – korunk egyik legfejlettebb és legveszélyesebb digitális megfigyelő eszköze. Ezt az izraeli NSO Group vállalat fejlesztette ki, és kiberfegyverként értékesíti kormányzati szervek számára világszerte. A Pegasus észrevétlenül képes behatolni okostelefonokba (iOS és Android rendszerű készülékekbe egyaránt), majd azokat 24 órás lehallgató készülékké alakítani. A telepítés után gyakorlatilag minden adathoz és funkcióhoz hozzáfér: olvassa az üzeneteket, rögzíti a hívásokat, lementi a fotókat, aktiválja a mikrofont vagy a kamerát, nyomon követi a tartózkodási helyet, sőt akár titkosított üzenetküldő alkalmazások adataihoz is hozzáfér, mintha maga a telefon tulajdonosa lenne. Mindezt a felhasználó tudta nélkül, rejtve végzi.
A Pegasus eredetileg a terrorizmus és a súlyos bűncselekmények elleni harc eszközeként lett hirdetve, ám a valóságban számos esetben újságírók, emberi jogi aktivisták, ügyvédek, politikai ellenzékiek és más civil célpontok ellen vetették be világszerte. 2021-ben a Pegasus-projekt néven ismertté vált nemzetközi oknyomozó újságírói együttműködés leplezte le, hogy egy kiszivárgott adatsorból ítélve több mint 50 000 telefonszám szerepelt potenciális célpontként 2016 óta, több tucatnyi ország kormányzati megrendelőitől. Azóta számos botrány rántotta le a leplet arról, hogy demokratikus országokban is visszaéltek ezzel a kémfegyverrel. A következőkben áttekintjük a Pegasus technikai működését, az alkalmazott támadási módszereit és célpontjait, a kémprogram által gyűjtött adatok körét, valamint azt is, hogyan azonosították a működését független kutatók. Végül részletesen bemutatjuk, milyen védekezési lehetőségek léteznek – mind egyéni, mind vállalati szinten – a Pegasus ellen.
A Pegasus támadási vektorai és képességei összefoglalva: a kémprogram gyakran ismert alkalmazások (SMS, WhatsApp, iMessage) biztonsági hibáit vagy ismeretlen (zero-day) sérülékenységeket kihasználva jut be a telefonra, és települése után szinte minden személyes adatot képes begyűjteni a készülékről a támadó számára.
A Pegasus technikai működése és támadási módszerei
A Pegasus egy magasan fejlett, moduláris felépítésű kémprogram, amely mélyen integrálódik a megcélzott eszköz operációs rendszerébe. Települése után rejtve fut a háttérben, erős titkosítást és kód-obfuszkációt használ a jelenlétének elleplezésére, valamint önmegsemmisítő mechanizmust is tartalmaz az eltávolítás vagy felfedezés elkerülésére. A Pegasus képes kihasználni az eszközök legalapvetőbb funkcióit és alkalmazásait is: például bepedve az operációs rendszer mélyébe, a biztonsági rések segítségével jogosulatlanul hozzáfér a telefon mikrofonjához, kamerájához, GPS-éhez, valamint népszerű alkalmazások – pl. Gmail, Facebook, WhatsApp, FaceTime, Viber, iMessage, Telegram – adataihoz. A kémszoftver egyik különlegessége, hogy “jailbreak” vagy root hozzáférést szerez az eszköz felett – azaz a rendszer védelmi korlátait megkerülve adminisztrátori szintű hozzáférést nyer. Mindezt a támadás során automatikusan éri el, a felhasználó közreműködése nélkül, anélkül, hogy a telefon előzetes feloldására (jailbreakelésére) szükség lenne. A Pegasus tulajdonképpen saját maga töri fel a készüléket a biztonsági hibák kihasználásával.
Zero-day sérülékenységek kihasználása
A Pegasus támadásai gyakran nulladik napi (zero-day) sérülékenységekre épülnek. A zero-day sebezhetőség olyan biztonsági rés a rendszerben vagy egy alkalmazásban, amelyet a fejlesztők még nem ismernek, így javítás (frissítés) sem áll rendelkezésre rá. A Pegasus fejlesztői folyamatosan keresik és kihasználják ezeket a rejtett hibákat az okostelefonok szoftvereiben. Az NSO Group számára különösen vonzóak az olyan alapértelmezett vagy nagyon elterjedt szolgáltatások, mint az Apple iMessage vagy a Meta (Facebook) WhatsApp, mivel ezek sérülékenységei révén potenciálisan felhasználók százmillióit érhetik el.
A nulladik napi hibák kihasználásával a Pegasus gyakorlatilag bármilyen modern, naprakész telefonra feltelepíthető, ha a készülék szoftverében addig ismeretlen biztonsági rés rejlik. Például 2019-ben derült ki, hogy a Pegasus egy ismeretlen hibát kihasználva a WhatsApp-ban képes volt fertőzni: elegendő volt, ha a támadó megcsörrentette WhatsApp-hívással a célszemély telefonját – akkor is, ha a hívást nem vette fel senki. A készülékre ezáltal a kártékony kód észrevétlenül települt. Hasonlóképpen 2021-ben az Amnesty International szakemberei fedezték fel a FORCEDENTRY nevű exploitot, amely egy rosszindulatú PDF-fájllal támadta az Apple eszközök képmegjelenítő modulját iMessage-en keresztül, és így telepítette a Pegasust az akkori legfrissebb iPhone-okra is. Ezt a hibát az Apple később, 2021 szeptemberében foltozta be (iOS 14.8-as frissítés). 2022–2023 folyamán is bukkantak fel újabb, rendkívül kifinomult támadómodulok: a Citizen Lab 2022-ben három különböző exploit-láncot azonosított, amelyek az iOS 15 és 16 rendszerek ismeretlen sebezhetőségeit használták ki a Pegasus terítésére. 2023 szeptemberében pedig újabb, “BLASTPASS” névre keresztelt zero-click támadást lepleztek le, amely még az iOS 16.6 verziójú (akkor legfrissebb) iPhone-okat is kompromittálni tudta egy kártékony képes üzenettel. Ezek az esetek is rámutatnak, hogy folyamatos verseny zajlik a kiberbűnözők (illetve jelen esetben az államilag támogatott kémszoftver-fejlesztők) és a platformfejlesztők között – az utóbbiak igyekeznek kiadni a frissítéseket, amint fény derül egy-egy biztonsági résre.
Interakciómentes “zero-click” támadások
A Pegasus legveszélyesebb támadási módszere az úgynevezett zero-click exploit, azaz egy olyan támadás, amely nem igényel semmilyen felhasználói interakciót a sikeres fertőzéshez. Míg a legtöbb hagyományos rosszindulatú program terjedéséhez kell, hogy a felhasználó óvatlanul rákattintson egy fertőzött linkre vagy megnyisson egy csatolmányt, a Pegasus zero-click támadásai teljesen észrevétlenül zajlanak le a célpont számára. Ilyenkor a támadók a modern okostelefonok működésének automatizmusait aknázzák ki: például egy üzenetküldő alkalmazás által háttérben feldolgozott bejövő adathalmaz (kép, videó, hívás stb.) tartalmazza az exploit kódját. Nincs csengőhang, nincs értesítés, és a felhasználónak nem kell semmit megnyitnia – a telefon megfertőződik pusztán attól, hogy a kártékony adat megérkezett rá. Ez a támadási forma különösen veszélyes, hiszen a célpontnak nincs módja gyanút fogni; a kompromittálás az operációs rendszer egy rejtett hibáját kihasználva történik. A Pegasus támadók az elmúlt években előszeretettel alkalmazták ezt a technikát. Az NSO ügyfelei nagyrészt átálltak a korábbi gyanús linkeket tartalmazó SMS-ekről az ilyen, „finomabb” zero-click támadásokra.
A gyakorlatban több ilyen nulladik napi, interakciómentes támadásra derült fény: a már említett 2019-es WhatsApp-hívás sebezhetőség, a 2020-2021 során az iMessage ellen bevetett hibák, 2022-ben a HomeKit és iMessage együtt kihasználásán alapuló exploitok, 2023-ban pedig a BlastPass eset, amely egy egyszerű képes üzenettel fertőzött. A közös bennük, hogy a telefon gazdája sosem veszi észre a behatolást, a Pegasus pedig azonnal települ és megkezdi a kémkedést. Ezeket a támadásokat szinte lehetetlen kivédeni felhasználói oldalról, hiszen semmi gyanús tevékenység nem igényeltetik a célpont részéről – a védekezés egyedüli módja az eszközök gyártóitól függ (azaz hogy időben felfedezzék és kijavítsák a sebezhetőségeket).
Social engineering és egyéb telepítési módszerek
Noha manapság a Pegasus telepítésére jellemzően fejlett zero-click exploitokat használnak, a kiberfegyver korábbi változatai és néhány támadó továbbra is alkalmaz social engineering trükköket, vagyis emberi megtévesztésen alapuló módszereket. A spear phishing – célzott adathalászat – klasszikus Pegasus-taktika: személyre szabott SMS-t vagy e-mailt küldenek a célpontnak, benne egy kártékony linkkel, amely például valamilyen szenzációs információt ígér. Ha a gyanútlan felhasználó rákattint, a link egy fertőzött weboldalt nyit meg, amely az eszköz böngészőjén vagy egy másik alkalmazáson keresztül kihasznál egy biztonsági rést, megtöri a telefont (jailbreakeli), majd automatikusan telepíti a Pegasust. Pontosan ez történt 2016-ban, amikor az Emirátusokban élő emberi jogi aktivista, Ahmed Mansoor kapott egy gyanús üzenetet; ő nem kattintott rá, hanem továbbította a Citizen Lab kutatóinak, akik így fedezték fel a Pegasus addig ismeretlen, háromlépcsős exploitját (Trident). Az Apple ezt a hibasorozatot napokon belül javította (iOS 9.3.5 frissítés formájában), de a Pegasus evolúciója ezzel nem állt meg.
Abban az esetben, ha sem a kifinomult zero-click exploit, sem a felhasználó megtévesztésén alapuló módszer nem jár sikerrel, a Pegasus támadói más eszközökhöz is nyúlhatnak. Az NSO marketinganyagából kiderült, hogy léteznek fizikai terjesztési módok is: például egy célpont közelébe telepített rejtett átjátszó (transceiver) révén, mely vezetéknélküli hozzáférést szerez a telefonhoz, vagy akár úgy is, hogy egy ügynök manuálisan telepíti a kémprogramot, ha sikerül hozzáférnie a célpont készülékéhez. Ezek a módszerek értelemszerűen ritkábbak és logisztikailag bonyolultabbak, de mutatják, hogy a Pegasus célba juttatására a támadók minden lehetőséget számba vesznek.
Összességében a Pegasus technikai működése rendkívül összetett, és folyamatosan fejlődik. A támadók egyszerre használják ki a szoftverek ismeretlen hibáit, a felhasználók óvatlanságát és a modern hálózati eszközök funkcionalitását, hogy a kémprogramot észrevétlenül telepítsék. A telefon feltörése után a Pegasus stabilan fut, de a kutatók megfigyelték, hogy gyakran nem épít ki mély, újraindítás utáni perzisztenciát a rendszerben (talán hogy ezzel is csökkentse a felfedezés kockázatát). Ennek következménye, hogy a készülék újraindítása sok esetben ideiglenesen kiiktatja a Pegasust – persze a támadók újra fertőzhetik a telefont egy következő alkalommal. (Ezt a jelenséget a védekezési stratégiáknál még részletesebben tárgyaljuk.)
A Pegasus célpontjai és alkalmazása
Az NSO Group állítása szerint a Pegasust kizárólag legitim bűnüldözési és terrorellenes célokra értékesítik, és az izraeli védelmi minisztérium export-engedélyéhez kötött minden egyes üzlet. A gyakorlatban azonban számos bizonyíték került napvilágra, miszerint autoriter rezsimek és egyes demokratikus kormányok is visszaéltek ezzel az eszközzel saját politikai vagy gazdasági érdekeik mentén. A kémszoftverrel megfigyelt célpontok között vannak oknyomozó újságírók, ellenzéki politikusok, emberi jogi aktivisták, ügyvédek, üzletemberek, sőt esetenként állami tisztviselők is, akik nem feltétlenül követtek el bűncselekményt, de a megfigyelők szempontjából “érdekes” információk birtokában lehettek.
A 2021-es Pegasus-botrány (Pegasus Project) során derült ki, hogy több Európai Uniós országban is alkalmazták a Pegasust politikai ellenfelek vagy kritikus újságírók ellen – így például Magyarországon, Lengyelországban, Spanyolországban, Franciaországban is vizsgálatok indultak az ügyben. Magyarországon oknyomozó újságírók, médiatulajdonosok, ügyvédek és egy ellenzéki polgármester telefonjának feltörését azonosította a Forbidden Stories/Direkt36 vizsgálata, ami komoly belpolitikai vihart kavart 2021 nyarán. Hasonló megfigyelési ügyeket jelentettek Mexikótól Marokkón és Szaúd-Arábián át Indiáig – jelzésértékű, hogy legalább 50 országban bukkant fel a Pegasus neve a megfigyelési botrányok kapcsán. Gyakran a megfigyeltek között szerepeltek a hatalmon lévők számára kényelmetlen személyek, például korrupciót feltáró újságírók vagy tüntetések szervezői, de előfordult a Pegasus bűnözői körök elleni bevetése is (például drogbárók felkutatására).
Fontos kiemelni, hogy a Pegasus nem válogat az eszközök között: bárki lehet célpont, akinek az információi értékesek lehetnek valaki számára. Egy civil szervezet munkatársától egy nagyvállalat vezetőjén át egy kormányzati tisztviselőig bárki, akiről titkos adatok szerezhetők, potenciálisan céltáblává válhat. Az NSO ügyfelei (állami hírszerző vagy rendvédelmi szervek) jellemzően titokban, bírósági vagy kormányzati felügyelet nélkül alkalmazták a Pegasust, ami súlyos emberi jogi aggályokat vet fel. A Pegasus-projekt nyilvánosságra hozatala után több kormány vizsgálatot indított, és az Egyesült Államok is tiltólistára tette az NSO Groupot a “transznacionális elnyomás” támogatása miatt. 2023-ban Joe Biden amerikai elnök külön rendeletben tiltotta meg az amerikai kormánynak, hogy olyan kereskedelmi kémszoftvert használjon, amelyet külföldi szereplők emberi jogi visszaélésekre alkalmaztak – egyértelmű utalás volt ez a Pegasusra és hasonszőrű társaira.
Összességében tehát a Pegasus elsősorban nagy értékű célpontok ellen bevetett fegyver. Bár egy átlagember esélye arra, hogy Pegasus megfigyelés alá kerüljön, rendkívül alacsony, a létezése akkor is mindenki számára aggasztó: rávilágít, hogy okostelefonjaink sebezhetők, és megfelelő erőforrásokkal gyakorlatilag bárki kompromittálható, ha valaki hozzáférést akar az adataihoz.
A kémprogram által gyűjtött adatok és képességek
Miután a Pegasus sikeresen települt a célpont készülékére, teljeskörű hozzáférést szerez annak adataihoz és szenzoraihoz. A támadók a Pegasus segítségével szinte bármilyen információt begyűjthetnek a telefonról, továbbá bizonyos műveleteket is végrehajthatnak rajta távolról. Az alábbiakban összefoglaljuk a Pegasus főbb képességeit és a gyűjtött adatok típusait:
-
Üzenetek és hívások lehallgatása: A Pegasus képes elolvasni az SMS-eket, chatüzeneteket, e-maileket (akkor is, ha azok titkosított alkalmazásban zajlanak, hiszen a kémprogram a telefon “gazdájaként” közvetlenül fér hozzá az üzenetek tartalmához). Emellett rögzíteni tudja a telefonhívásokat és internetes hívásokat is, valamint meg tudja szerezni a híváselőzményeket.
-
Kamera és mikrofon aktiválása: A kémprogram távolról bekapcsolhatja a telefon mikrofonját, hogy élőben lehallgassa a környezeti beszélgetéseket, vagy elindíthatja a kamerát, hogy képeket/videót rögzítsen – mindezt a felhasználó tudta nélkül. Így a Pegasus a telefon gazdáját fizikailag is megfigyelheti, lehallgathatja a megbeszéléseit, illetve “kémkedhet” a környezetében.
-
Fényképek, videók és fájlok lopása: Hozzáfér a készüléken tárolt összes fotóhoz, videóhoz, hangfájlhoz és dokumentumhoz, és azokat tetszés szerint letöltheti a támadó szerverére. A telefon tárhelyén lévő bármilyen fájl – legyen az személyes kép, munkahelyi dokumentum vagy bármilyen letöltött fájl – a Pegasus számára megszerezhető.
-
Naplók, jelszavak és egyéb adatok gyűjtése: A Pegasus kiolvashatja a telefon névjegyzékét (kontaktlistáját), a naptárbejegyzéseit, a GPS helyadatait (azaz hogy a telefon merre járt, illetve valós időben is követheti a pozícióját). Továbbá képes lehet a böngészési előzmények, a Wi-Fi hálózatok és akár a készüléken tárolt jelszavak megszerzésére is. A Lookout biztonsági cég elemzése szerint például a Pegasus ellophatja a mentett Wi-Fi és router jelszavakat, valamint a telefonon tárolt egyéb jelszó-információkat is.
-
Adatok manipulálása: Bár elsődlegesen a Pegasus kémkedésre szolgál, bizonyos források megjegyzik, hogy akár adatok módosítására vagy feltöltésére is használható. Például képes fájlokat feljuttatni a fertőzött eszközre távolról. Ez azt jelenti, hogy elvileg a támadó kompromittáló vagy hamis fájlokat is elhelyezhet a telefonon, vagy telepíthet más kártékony programot is rajta keresztül. (Ilyen funkciókat eddig kevésbé dokumentáltak nyilvánosan, de technikailag nem zárható ki.)
A felsorolt képességek együttesen azt jelentik, hogy a Pegasus teljes digitális profilt képes felállítani a megfigyelt személyről. A támadók láthatják a kommunikációit, ismerhetik a kapcsolati hálóját (hívások, kontaktok), beleláthatnak a fotóiba és fájljaiba, követhetik a mozgását, sőt valós időben hallhatják és láthatják is őt. Mivel a Pegasus a telefon legitim rendszerszolgáltatásain keresztül fér hozzá az adatokhoz, még a végponti titkosítás sem nyújt védelmet ellene – hiába használ a célszemély biztonságos üzenetküldőt vagy titkosított hívást, a kémprogram az eszközön futó alkalmazásban, a titkosítás feloldása után olvassa ki az üzeneteket vagy hangokat. A telefon tulajdonosa így mit sem sejtve “szolgáltatja” a kényes információkat a megfigyelőknek.
Összefoglalva, a Pegasus által gyűjtött adatok köre gyakorlatilag mindenre kiterjed, ami egy okostelefonon megtalálható vagy azon keresztül kommunikálható. Nem véletlen, hogy egy 2021-es cikk a Pegasust “minden bizonnyal a valaha létezett legerősebb kémszoftvernek” nevezte, amely privát cégtől származik. Aki Pegasus fertőzés áldozatává válik, annak a telefonja többé már nem a sajátja – hanem a támadó szemévé és fülévé válik.
A Pegasus azonosítása és kutatása
A Pegasus hosszú ideig rejtőzködő fegyver volt – az első nyilvános jelzések 2016-ban kerültek napvilágra, amikor a Citizen Lab (Torontói Egyetem) és a Lookout biztonsági cég közösen elemezte Ahmed Mansoor telefonjára küldött kártevőt. Ez volt az első technikai elemzése a Pegasusnak, felfedve a Trident exploit-láncot és megerősítve, hogy a kémprogram létezik és aktív. A felfedezés nyomán az Apple gyorsan kiadott egy biztonsági frissítést, az NSO Group pedig a figyelem középpontjába került.
A következő években további szórványos jelentések érkeztek gyanús megfigyelésekről, de az igazi áttörést a már említett Pegasus Project hozta 2021 júliusában. A Forbidden Stories által koordinált nemzetközi újságírói csapat és az Amnesty International Security Labje megszerezte és kielemezte egy kiszivárgott célpontlistát, valamint több tucat készüléket megvizsgáltak Pegasus-fertőzés nyomai után kutatva. Az Amnesty berlini biztonsági laborját vezető Claudio Guarnieri és csapata fejlesztette ki a forenzikus módszereket, amelyekkel a Pegasus tevékenysége detektálhatóvá vált. Ezek a módszerek azt keresték, milyen “morzsákat” hagy maga után a kémprogram a telefonokon – pl. ismeretlen folyamatok nyomait, gyanús hálózati forgalmat, rendszerlogokban található anomáliákat stb.
A vizsgálatok kimutatták, hogy az Apple iPhone készülékeken jobb eséllyel találhatók meg a fertőzés nyomai, mivel az iOS rendszer széleskörű logokat őriz meg (pl. rendszerhibák, memóriakiírások formájában). Az Amnesty 2021-es elemzése során 67 gyanús telefont néztek át, és 23 esetben bizonyítékot találtak Pegasus-fertőzésre, 14 esetben kísérletre. Érdekes módon a 15 vizsgált Androidos telefon közül egy sem mutatott egyértelmű fertőzési nyomokat, miközben többnél gyanítható volt a támadás (pl. Pegasushoz köthető SMS-ek alapján). Ennek oka nem az, hogy az Android védettebb lenne, hanem hogy az Android kevesebb olyan naplót és rendszerinformációt tárol, ami utólag bizonyítékként szolgálhatna. Tehát valószínű, hogy Androidon is történtek fertőzések, csak a forenzikus eszközökkel nehezebb kimutatni azokat. (Ezt a különbséget a kutatók úgy fogalmazták meg, hogy “az Android nem naplózza azokat az adatokat, amik az Amnesty detektálási módszereihez kellenek”.)
A Pegasus azonosítására kidolgozott módszerek azóta is fejlődnek. Az Amnesty nyílt forráskódú eszközt adott ki MVT (Mobile Verification Toolkit) néven, amellyel bárki – kellő technikai tudással – átvizsgálhatja okostelefonja biztonsági mentését vagy rendszerlogjait Pegasus nyomok után kutatva. A Citizen Lab és más kutatók folyamatosan publikálnak jelentéseket az újonnan felfedezett exploitokról (mint a 2022-es FINDMYPWN vagy PWNYOURHOME, illetve a 2023-as BlastPass), így a biztonsági közösség igyekszik lépést tartani a kémprogram változásaival. 2024-ben a Kaspersky Lab szakértői egy új, könnyű detektálási módszert jelentettek be: rájöttek, hogy a Pegasus-fertőzés nyomot hagy egy váratlan iPhone naplófájlban, a Shutdown.log-ban. Ez a fájl minden készülék-újraindításkor frissül, és a Kaspersky szerint a Pegasus által fertőzött telefonoknál jellegzetes anomáliák (úgynevezett “ragadó” folyamatok) figyelhetők meg benne. Ennek alapján egy nyilvánosan elérhető segédprogramot is közzétettek, amely kiolvassa és elemzi a Shutdown.log-ot a Pegasus indikátorok után kutatva. Ez fontos előrelépés, mert a vizsgálat így kevésbé invazív és gyors, bár még mindig szakértelmet igényel.
Ami a platformokat illeti, a Pegasus elsősorban iOS és Android rendszereken terjed. A kezdeti verziók még BlackBerry OS-t is céloztak, de manapság az okostelefon piacot uraló két platform a fő célpont. Apple iPhone-ok esetében az NSO sokáig komoly előnyben volt: számos iOS sebezhetőséget tudtak kihasználni, és mivel az Apple zárt rendszere miatt a felhasználók kevés biztonsági beállítást módosíthatnak, egy sikeres Pegasus-támadást nehéz észrevenni. Ugyanakkor az Apple összpontosított a problémára – integrált például Pegasus-védelmi értesítéseket, amelyek figyelmeztetik a felhasználót, ha az Apple szerint lehetséges, hogy célzott kémszoftver támadás érte. (Ilyen értesítéseket kaptak már aktivisták, újságírók világszerte, miután Apple detektálta a rájuk irányuló támadás mintázatait.) Ezen felül az iOS 16 rendszertől bevezették a Lockdown Mode-ot, egy különleges üzemmódot a magas kockázatú felhasználók számára – erről a következő szakaszban részletesen szólunk. Androidos eszközök esetén a Pegasus hasonlóképpen veszélyes, bár a támadási felület máshogy alakul: itt a nyíltabb rendszer lehetővé tesz bizonyos biztonsági alkalmazásokat, de a fragmentált ökoszisztéma (sok gyártó, eltérő frissítési gyakorlat) miatt sok készülék védtelen maradhat egy-egy exploit ellen. Az Androidra írt Pegasus modulokról kevesebb nyilvános technikai információ áll rendelkezésre, de annyi bizonyos, hogy léteznek Android-specifikus támadások is – például SMS-ben küldött linkek, rosszindulatú APK telepítése, vagy korábban a WhatsApp sebezhetőség is platformfüggetlen volt. Az Android esetében a kémprogram a telefon rootolására törekszik (rendszergazdai jogok szerzésére), ami ha nem sikerül, talán korlátozhatja némileg a képességeit. A kiszivárgott információk szerint azonban a Pegasus Androidon is képes például a Signal üzenetküldő adatait megszerezni, a hívásokat rögzíteni és a mikrofont bekapcsolni – tehát a végpontok közti titkosítás ott sem nyújt védelmet a kompromittált eszközön.
Összefoglalva, a kiberbiztonsági közösség (Citizen Lab, Amnesty, Kaspersky stb.) erőfeszítéseinek hála egyre többet tudunk a Pegasus működéséről és nyomairól. Mindez hozzájárult ahhoz, hogy a gyártók befoltozzák a hibákat és védelmi intézkedéseket hozzanak. Ugyanakkor a Pegasus továbbra is aktív fenyegetést jelent: ahol egy rés bezárul, a támadók újabbat keresnek. A felhasználók és szervezetek csak akkor remélhetnek némi védelmet, ha naprakész információkkal és megfelelő óvintézkedésekkel készülnek fel erre a magas szintű fenyegetésre.
Védekezési lehetőségek a Pegasus ellen
Felmerül a kérdés: hogyan védekezhetünk egy ennyire kifinomult kémprogrammal szemben? A válasz nem egyszerű. A szakértők gyakran rámutatnak, hogy egy célozott Pegasus-támadást szinte lehetetlen teljes biztonsággal kivédeni, hiszen ha egy állami szintű erőforrásokkal rendelkező támadó a legfrissebb, ismeretlen hibákat kihasználva juttatja a Pegasust a telefonunkra, akkor a felhasználó tehetetlen. Ugyanakkor több olyan óvintézkedés is létezik, amelyekkel csökkenthetjük a kockázatot és megnehezíthetjük a támadók dolgát. Ezek az intézkedések részben technikai jellegűek, részben pedig biztonságtudatos viselkedési stratégiák. Az alábbiakban sorra vesszük a legfontosabb védekezési módszereket – mind egyéni használók, mind vállalati/ intézményi szereplők számára.
-
Rendszeres szoftverfrissítés: A legfontosabb védelmi vonal a készülékünk operációs rendszerének és alkalmazásainak naprakészen tartása. Mivel a Pegasus gyakran már befoltozott hibákat is kihasznál, különösen veszélyes, ha elmaradnak a frissítések. Amint egy sebezhetőség ismertté válik és javítást adnak ki rá (pl. Apple vagy Google által), kulcsfontosságú azt haladéktalanul telepíteni. Az iOS 14.8, iOS 15.6.1, iOS 16.6 stb. mind olyan frissítések voltak, amelyek konkrét Pegasus exploitokat hatástalanítottak. Ugyanez igaz az Android biztonsági frissítéseire is. Vállalati környezetben érdemes MDM (Mobile Device Management) rendszerekkel kényszeríteni a frissítések telepítését a céges eszközökre. A gyors patch-eléssel elérhetjük, hogy a támadóknak mindig újabb és újabb hibákat kelljen keresniük, ami csökkenti a sikeres támadás esélyét.
-
Készülék újraindítása és hard reset: Mivel sok Pegasus-fertőzés nem éli túl a készülék újraindítását (nem rendelkezik mély, boot-szintű perzisztenciával), egy napi egyszeri újraindítás hasznos egyszerű gyakorlat lehet. A rendszer friss újraindítása megtisztíthatja a memóriát a futó kártevőtől, így a támadónak újra be kell juttatnia azt – ami növeli a lebukás kockázatát, illetve ablakot adhat a felhasználónak a frissítés telepítésére. Egy kockázatos utazás vagy esemény előtt és után is érdemes újraindítani a telefont. Hard reset vagyis a gyári beállítások visszaállítása is szóba jöhet, ha valaki erősen gyanakszik fertőzésre – ez eltávolít minden alkalmazást és adatot. Ugyanakkor tudni kell, hogy ha az eszköz ugyanúgy célpont marad, a támadók egy újabb exploit segítségével ismét megfertőzhetik, így a hard reset csak ideiglenes megoldás. Ennek ellenére incidens esetén egy teljes újratelepítés javasolt a fertőzés megszakítására.
-
Lockdown mód használata (iOS): Az Apple 2022-ben bevezetett egy speciális, opcionálisan bekapcsolható biztonsági módot, Lockdown Mode néven. Ez kifejezetten az olyan Pegasus-szintű kifinomult támadások ellen készült, amelyek a készülék normál működési útvonalait használják ki. A Lockdown mód bekapcsolásakor az iPhone letilt több potenciális támadási felületet: például blokkolja az ismeretlen küldőktől érkező iMessage csatolmányokat és linkelőnézeteket, a webböngészőben bizonyos komplex webtechnológiákat, a FaceTime-hívásokat idegenektől, stb. Ezek az korlátozások némileg csökkentik a készülék funkcionalitását a mindennapi használatban, viszont jelentősen leszűkítik a támadók lehetőségeit. Kutatások szerint a Lockdown mód valóban hatékony: a Citizen Lab megerősítette, hogy a 2023-as BlastPass exploit például nem tudta megfertőzni azt a telefont, amelyen be volt kapcsolva ez az üzemmód. Tehát a magas kockázatú felhasználóknak – újságíróknak, aktivistáknak, érzékeny beosztású vezetőknek – erősen ajánlott a Lockdown mód használata az iPhone-jukon, legalább átmenetileg, ha gyanús környezetben tartózkodnak vagy kiemelt célpontnak számítanak. (Android fronton hasonló integrált “extrém biztonsági mód” nincs, de ott is lehet manuálisan szigorítani a beállításokat, pl. ismeretlen alkalmazások telepítésének tiltása, fejlesztői mód kikapcsolása, stb.)
-
Támadási felületek minimalizálása: Kapcsolódva az előző ponthoz, néhány szolgáltatás kikapcsolásával is növelhetjük biztonságunkat, ha azok nem létfontosságúak. Például mivel az iMessage és a FaceTime gyakori támadási vektorok, akit különösen fenyegetettnek érez, dönthet úgy, hogy ezeket kikapcsolja az eszközén (vagy csak egy dedikált, kevésbé használt készüléken tartja őket bekapcsolva). Hasonlóan, a WhatsApp helyett lehet más, kevésbé célba vett üzenetküldőt használni – bár hangsúlyozzuk, bármilyen appban lehet sebezhetőség. Érdemes továbbá letiltani a szükségtelen alkalmazásengedélyeket: pl. mi férhet hozzá a mikrofonhoz, kamerához, helyzethez. Bár egy Pegasus-szintű támadás ezeket a korlátokat is áthághatja, a kevesebb potenciális belépési pont elve itt is érvényes.
-
Biztonságtudatos viselkedés és képzés: Mivel a Pegasus korábbi verziói és más hasonló kártevők alkalmaztak social engineering trükköket, fontos a felhasználók folyamatos biztonságtudatossági képzése. Magánszemélyként is tartsuk be az alapszabályokat: ne kattintsunk gyanús linkekre, ne nyissunk meg ismeretlen forrásból származó fájlokat vagy SMS-ben érkező hivatkozásokat. Vállalati környezetben rendszeres képzésekkel lehet éberré tenni a munkatársakat az adathalász kísérletekkel szemben – még akkor is, ha a Pegasus zero-click támadásait nem lehet ily módon kivédeni, egy kevésbé kifinomult 1-click próbálkozást vagy más malware-t így is meghiúsíthatunk. Tanítsuk meg a kollégáknak, hogy legyenek gyanakvóak a váratlan üzenetekkel, hívásokkal szemben (például egy ismeretlen számról érkező WhatsApp-hívás, vagy egy váratlan SMS tartalmazó link mindig legyen gyanús). Emellett ki kell alakítani egy belső protokollt arra, ha valaki gyanús esetre lesz figyelmes – pl. azonnal jelezze az IT-biztonsági felelősnek.
-
Kockázatminimalizáló stratégiák: Szervezeti szinten fontos felmérni, kik tartozhatnak a Pegasus által fenyegetett célcsoportba. Például egy nemzetközi emberi jogi szervezet vezetői vagy egy kormánykritikus média szerkesztői sokkal nagyobb rizikónak vannak kitéve, mint egy átlagos alkalmazott. Az ilyen kiemelten védendő személyek esetén érdemes speciális óvintézkedéseket hozni: biztosítani számukra elkülönített eszközöket (pl. egy “utazó telefont” csak a kritikus utakra, amin limitált számú app fut és be van kapcsolva a Lockdown mód), vagy akár más kommunikációs csatornákat a legérzékenyebb információk megosztására. Bizalmas megbeszéléseken javasolt a telefonokat kikapcsolva, esetleg egy Faraday-tasakban tartani, hogy még egy esetleges Pegasus fertőzés se tudjon hangot rögzíteni. Szintén praktikus stratégia, ha minimális adatot tárolunk a telefonon: ami nincs rajta, azt nem tudja ellopni a kémprogram. Például a nagyon fontos dokumentumokat ne a telefonon tartsuk, és a chatbeszélgetéseket időnként töröljük (bár a Pegasus képes a törölt adatokat is továbbítani, amíg jelen van, de legalább limitáljuk a visszamenőleges adatokat).
-
Eszközmonitorozás és incidenskezelés: Vállalati környezetben bevezethetőek bizonyos mobil biztonsági megoldások (MDM/MTP – Mobile Threat Protection), amelyek figyelik a készülékek rendszerállapotát és hálózati forgalmát, bár a Pegasus rejtettsége miatt ezek gyakran kevés hatékonyságúak. Hasznos lehet időnként ellenőrzést végezni a céges telefonokon az ismert indikátorok után kutatva. Ehhez igénybe vehetők szakértők vagy a már említett Mobile Verification Toolkit és más elemző eszközök. Ha alapos a gyanú egy fertőzésre (például konkrét figyelmeztetést kapunk egy gyártótól, vagy egy újságírói projekttől), az érintett eszközt azonnal izolálni kell (leválasztani a hálózatról, kikapcsolni), majd szakember bevonásával törvényszéki vizsgálatot folytatni. Bár egy átlagfelhasználó számára ez nem életszerű, fontos, hogy legalább a tudatosság meglegyen: a Pegasus elleni védekezés csapatmunkát igényel a tech cégek, a biztonsági kutatók és a felhasználók részéről.
Végül hangsúlyozni kell, hogy nincs tökéletes védelem. A fenti lépések betartása esetén is előfordulhat, hogy egy jól finanszírozott támadó célba juttat egy új, ismeretlen exploitot. A cél tehát a kockázat minimalizálása és a támadás észlelésének esélyeinek növelése. A Pegasus elleni védekezés olyan, mint egy erős vár építése: ha valaki igazán be akar törni, talán talál rést a falon, de minél masszívabbak a falak, annál nehezebb dolga lesz, és annál valószínűbb, hogy időközben felfedezik vagy meghiúsul a kísérlet.
Összegzés
A Pegasus kémszoftver példátlan fenyegetést jelent a mobil eszközök biztonságára: láthatatlanul, interakció nélkül fér hozzá minden privát adatunkhoz, és a világ számos pontján bizonyítottan visszaéltek vele. Technikai működése rendkívül fejlett – a zero-day hibák kihasználásától a saját jailbreak végrehajtásáig – és folyamatosan alkalmazkodik a védelmi intézkedésekhez. A Pegasus esete rámutat arra is, hogy az információbiztonság és az emberi jogok szorosan összekapcsolódnak a digitális korban.
Bár százszázalékos védelem nem létezik egy ilyen szintű fenyegetéssel szemben, a cikkben ismertetett védelmi stratégiák alkalmazásával jelentősen csökkenthetjük a kockázatot. A rendszeres frissítések, a biztonsági funkciók (mint a Lockdown mód) használata, a tudatos, óvatos online viselkedés és a szükséges technikai ellenőrzések együttesen egy többrétegű védelmi hálót alkotnak Pegasus és más hasonló kémszoftverek ellen.
A Pegasus története végső soron arra figyelmeztet, hogy legyünk éberek és proaktívak digitális eszközeink védelmében. Ahogy a támadók egyre újabb módszereket fejlesztenek ki, úgy kell lépést tartanunk nekünk is a védelemmel – legyen szó egyéni felhasználókról vagy vállalati biztonsági csapatokról. A tét az adataink, a magánéletünk és sok esetben az életünk biztonsága. Az okostelefonok világában a Pegasus jellegű fenyegetések árnyékában is tudatos és felkészült hozzáállással őrizhetjük meg leginkább a digitális biztonságunkat.
Források: A cikk számos friss, 2021–2025 közötti szakmai forrás alapján készült, beleértve a Citizen Lab és az Amnesty International jelentéseit, valamint kiberbiztonsági szakértők publikációit és híroldalakat (pl. The Guardian, Kaspersky, stb.).
