- iPhone ของ Galina Timchenko ผู้ร่วมก่อตั้งและผู้จัดพิมพ์ของ Meduza ติด Pegasus เมื่อวันที่ 10 กุมภาพันธ์ 2023 และเป็นกรณีแรกที่ยืนยันได้ว่าเกิดกับนักข่าวรัสเซีย
- จากการวิเคราะห์ของ Access Now และ Citizen Lab ผู้โจมตีสามารถเข้าถึงไมโครโฟน กล้อง หน่วยความจำ รูปภาพ ปฏิทิน สมุดที่อยู่ และแม้แต่บทสนทนาในแอปส่งข้อความที่เข้ารหัส โดยเชื่อว่าการติดเชื้อเกี่ยวข้องกับช่องโหว่ PWNYOURHOME ผ่าน HomeKit·iMessage
- วันถัดจากการติดเชื้อ Timchenko เข้าร่วมสัมมนาแบบปิดในเบอร์ลินกับบุคลากรของสื่ออิสระรัสเซียในต่างแดน และในเวลานั้นโทรศัพท์อาจถูกใช้ราวกับเป็น อุปกรณ์ดักฟัง
- NSO Group ระบุว่า Pegasus จำหน่ายให้ลูกค้าภาครัฐเท่านั้นเพื่อใช้รับมืออาชญากรรมและการก่อการร้าย แต่ Access Now และ Citizen Lab มองว่าข้อสงสัยเรื่องการใช้งานในยุโรป เช่น ลัตเวีย เอสโตเนีย และเยอรมนี รวมถึงความเป็นไปได้ของการสอดแนมข้ามพรมแดน เป็นประเด็นสำคัญ
- ยังไม่สามารถระบุตัวผู้โจมตีและวัตถุประสงค์ได้ และกรณีของ Timchenko สะท้อนทั้งแนวโน้มในยุโรปที่ปฏิบัติต่อนักข่าวเสมือนเป็นภัยต่อความมั่นคงของรัฐ และช่องว่างด้านกฎระเบียบของสปายแวร์เชิงพาณิชย์
จากการแจ้งเตือนภัยคุกคามของ Apple สู่การยืนยันการติดเชื้อ
- วันที่ 22 มิถุนายน 2023 Galina Timchenko ได้รับการแจ้งเตือนภัยคุกคามจาก Apple เกี่ยวกับ state-sponsored attackers และส่งต่อให้ทีมเทคนิคของ Meduza
- threat notifications ของ Apple คือการแจ้งเตือนที่ส่งเมื่อผู้ใช้ตกเป็นเป้าหมายเฉพาะบุคคลเพราะ “เป็นใคร” หรือ “ทำอะไร”
- Apple อธิบายว่าการโจมตีที่ได้รับการสนับสนุนจากรัฐมีความซับซ้อนมาก ต้องใช้เงินพัฒนาหลายล้านดอลลาร์ และมักมีอายุการใช้งานสั้น
- การแจ้งเตือนที่ Timchenko ได้รับไม่ได้ระบุว่ามาจากรัฐใด
- หัวหน้าฝ่ายเทคนิคของ Meduza จึงขอความช่วยเหลือจากภายนอก
- Access Now เป็นองค์กรไม่แสวงหากำไรที่สนับสนุนสิทธิพลเมืองดิจิทัลและแนวปฏิบัติด้านความปลอดภัยของผู้ใช้ทั่วโลก
- Citizen Lab เป็นสถาบันวิจัยของมหาวิทยาลัยโตรอนโตที่สืบสวนปฏิบัติการสอดแนมดิจิทัลต่อภาคประชาสังคม
- Access Now และ Citizen Lab รวบรวมข้อมูลอุปกรณ์ของ Timchenko และตรวจสอบอย่างรวดเร็ว ก่อนยืนยันว่า iPhone ติด Pegasus เมื่อวันที่ 10 กุมภาพันธ์ 2023
สิทธิ์การเข้าถึงที่ Pegasus ได้รับ
- การติด Pegasus ทำให้ผู้โจมตีได้ สิทธิ์เข้าถึงทั้งหมด บน iPhone ของ Timchenko
- เข้าถึงไมโครโฟน กล้อง และหน่วยความจำได้
- ดูที่อยู่บ้าน ปฏิทิน รูปภาพ และบทสนทนาในแอปส่งข้อความที่เข้ารหัสได้
- ดูหน้าจอโดยตรงและอ่านข้อความได้ในขณะที่กำลังพิมพ์
- ดาวน์โหลดอีเมล ข้อความ รูปภาพ และไฟล์ได้
- ผู้ใช้แทบไม่สามารถป้องกันหรือสังเกตเห็นการติดเชื้อได้
- Pegasus สามารถแฮ็กอุปกรณ์ได้หากมีแอปที่มีช่องโหว่เพียงตัวเดียว แม้จะเป็นแอปที่ Apple ติดตั้งมาให้โดยค่าเริ่มต้นก็ตาม
- ผู้ใช้ก็สังเกตเห็นว่าอุปกรณ์ติดเชื้อได้ยากเช่นกัน
- Timchenko เคยรู้สึกว่า iPhone อุ่นกว่าปกติ แต่คิดว่าเป็นเพราะที่ชาร์จอันใหม่
- Citizen Lab มองว่าผู้โจมตีอาจเจาะผ่าน HomeKit และ iMessage
- นักวิจัยพบร่องรอยดิจิทัลเฉพาะตัวของ Pegasus
- ช่องโหว่ที่ใช้ดูเหมือนจะเป็น PWNYOURHOME ซึ่งมุ่งโจมตีฟังก์ชัน HomeKit ที่มากับ iPhone และใช้ประโยชน์จาก iMessage เพื่อติดตั้งสปายแวร์
- John Scott-Railton ระบุว่าการโจมตีนี้ทำได้แม้บนอุปกรณ์ที่ไม่ได้เปิดใช้ HomeKit
การประชุมลับที่เบอร์ลินและช่วงเวลาที่ติดเชื้อ
- วันที่ติดเชื้อคือ 10 กุมภาพันธ์ 2023 หนึ่งวันก่อนที่ Timchenko จะเข้าร่วมการประชุมแบบปิดในเบอร์ลิน
- วันที่ 11 กุมภาพันธ์ Timchenko และ Ivan Kolpakov บรรณาธิการบริหารของ Meduza เข้าร่วมสัมมนาแบบปิดที่เบอร์ลินร่วมกับผู้เกี่ยวข้องจากสื่ออิสระรัสเซียในต่างแดน
- สัมมนาจัดโดยคณะกรรมการรางวัลสื่อ Redkollegia
- ผู้บริหารสื่อและทนายหารือประเด็นทางกฎหมายของการดำเนินงานที่เกี่ยวข้องกับรัสเซีย ท่ามกลางการเซ็นเซอร์อย่างครอบคลุมและการปราบปรามนักข่าวกับนักกิจกรรม
- สองสัปดาห์ก่อนหน้านั้น อัยการสูงสุดรัสเซียได้ขึ้นบัญชี Meduza เป็น “undesirable organization” ทำให้การรายงานของสื่อแห่งนี้กลายเป็นสิ่งผิดกฎหมาย
- Pegasus ทำงานอยู่แล้วในขณะที่ Timchenko เข้าร่วมประชุม
- ผู้โจมตีสามารถเปิดไมโครโฟนของโทรศัพท์จากระยะไกลเพื่อบันทึกบทสนทนารอบตัวได้
- กล้องก็สามารถถูกเปิดได้ในลักษณะเดียวกัน
- Natalia Krapiva จาก Access Now มองว่าโทรศัพท์ของ Timchenko อาจถูกใช้เป็น อุปกรณ์ดักฟัง เพื่อแอบฟังแผนงานของนักข่าวรัสเซีย
กรณียืนยันครั้งแรกที่เกิดกับนักข่าวรัสเซีย
- กรณีของ Timchenko เป็นกรณีแรกที่ยืนยันได้ว่า Pegasus ถูกใช้กับนักข่าวรัสเซีย
- Access Now ตรวจสอบโทรศัพท์ของนักข่าวและนักกิจกรรมเชื้อสายรัสเซียราว 20 คน และพบมัลแวร์หลายชนิด แต่ก่อนหน้านี้ยังไม่พบ Pegasus
- John Scott-Railton จาก Citizen Lab อธิบายว่าสปายแวร์ประเภทนี้สามารถซ่อน log file และลบร่องรอยของตัวเองได้ ทำให้ระบุการติดเชื้อได้ยาก
- Citizen Lab และ Lookout Security เป็นผู้เปิดเผยร่องรอยการมีอยู่ของ Pegasus ครั้งแรกในปี 2016
- รายงานในเวลานั้นระบุว่า “remote monitoring solution” ของ NSO Group ถูกใช้สอดแนม Ahmed Mansoor นักเคลื่อนไหวสิทธิมนุษยชนในสหรัฐอาหรับเอมิเรตส์
- Citizen Lab ติดตามทั้งเซิร์ฟเวอร์ที่จำเป็นต่อการปฏิบัติการของ Pegasus และเซิร์ฟเวอร์ที่รับข้อมูลจากอุปกรณ์ที่ติดเชื้อ
- Access Now อธิบายว่า Pegasus ใกล้เคียงกับ บริการ มากกว่าจะเป็นแค่ผลิตภัณฑ์ และ NSO Group ให้การฝึกปฏิบัติงานแก่ประเทศลูกค้าด้วย
NSO Group กับโครงสร้างต้นทุนและการขายของ Pegasus
- NSO Group อ้างว่า Pegasus ถูกออกแบบมาเพื่อใช้เฝ้าระวัง “ผู้ก่อการร้าย อาชญากร และผู้กระทำผิดทางเพศต่อเด็ก” เท่านั้น
- บริษัทขาย Pegasus ให้เฉพาะลูกค้าภาครัฐ
- ผู้ร่วมก่อตั้งรวมถึงอดีตบุคลากรจากหน่วยข่าวกรองทหารอิสราเอลและ Mossad
- แม้ NSO Group จะชูเรื่องนโยบายสิทธิมนุษยชนที่เข้มงวด แต่รัฐบาลหลายแห่งก็ใช้ Pegasus เพื่อเล่นงานผู้วิจารณ์และฝ่ายตรงข้ามทางการเมืองมาแล้ว
- John Scott-Railton จาก Citizen Lab กล่าวว่า ค่าเข้าถึง Pegasus อยู่ที่ “หลายสิบล้านดอลลาร์ หรือมากกว่านั้น”
- รัฐบาลเม็กซิโกใช้จ่ายกับเทคโนโลยี Pegasus ไปอย่างน้อย 61 ล้านดอลลาร์
- เม็กซิโกใช้มันสอดแนมทั้งอาชญากรและบุคคลในภาคประชาสังคม
- ตามข้อมูลของ Natalia Krapiva จาก Access Now สัญญากับ NSO Group ใช้รูปแบบอนุญาตจำนวน การติดเชื้อพร้อมกัน
- ตัวอย่างเช่น แพ็กเกจ 20 ราย หมายถึงสามารถเฝ้าระวังคนได้พร้อมกัน 20 คน
- รัฐบาล Biden นำ NSO Group ขึ้นบัญชีดำของรัฐบาลกลางในเดือนพฤศจิกายน 2021 ทำให้ไม่สามารถรับเทคโนโลยีจากสหรัฐฯ ได้
- มาตรการนี้เกิดขึ้นไม่กี่เดือนหลังจาก Pegasus Project consortium เปิดโปงการใช้งานสปายแวร์อย่างแพร่หลายและในทางที่ผิด
ความเป็นไปได้ของรัสเซีย คาซัคสถาน และอาเซอร์ไบจาน
- เป็นที่ทราบกันว่า NSO Group ทำให้ Pegasus ใช้งานกับหมายเลขโทรศัพท์สหรัฐฯ หรือรัสเซียไม่ได้
- ในปี 2020 ผู้ออกแบบ Pegasus ระบุว่าโทรศัพท์ที่ติดเชื้อไม่สามารถอยู่ภายในสหรัฐฯ ได้ทางกายภาพ และหากเข้ามาในเขตแดนสหรัฐฯ ซอฟต์แวร์จะทำลายตัวเอง
- เมื่อเอสโตเนียซื้อสิทธิ์เข้าถึง Pegasus ในปี 2019 มีรายงานว่า NSO Group ห้ามใช้กับเป้าหมายรัสเซีย
- NSO Group อ้างมาตลอดว่ารัสเซียและจีนเป็นประเทศที่ “ไม่มีวันเป็นลูกค้าได้”
- บริษัทระบุว่าตรวจสอบประวัติด้านสิทธิมนุษยชน การคอร์รัปชัน ความปลอดภัย การเงิน และประวัติการใช้งานในทางที่ผิดของลูกค้าเป้าหมาย
- เดือนมกราคม 2023 CEO Yaron Shohat กล่าวว่า บริษัทมุ่งเน้นธุรกิจหลักที่จัดหาให้รัฐบาลพันธมิตรของสหรัฐฯ และอิสราเอล
- Andrey Soldatov มองว่าหน่วยข่าวกรองรัสเซียเป็นผู้ขาย ไม่ใช่ผู้ซื้อ ในตลาดเทคโนโลยีสปายระดับโลก และมีความหวาดระแวงอย่างมากต่อสปายแวร์จากต่างชาติ
- การที่ข้อมูลที่ขโมยมาผ่าน Pegasus ถูกส่งไปยังเซิร์ฟเวอร์ในระบบนิเวศของ NSO Group อาจเป็นภาระสำหรับหน่วยงานรัสเซียเช่นกัน
- FSB ของรัสเซียไม่ตอบคำถามของ Meduza เกี่ยวกับ Pegasus
- Access Now พิจารณาทฤษฎีชั่วคราวว่าคาซัคสถานหรืออาเซอร์ไบจานอาจเป็นผู้โจมตีตามคำขอจากมอสโก
- ทั้งสองประเทศถูกสงสัยว่าเป็นลูกค้าของ Pegasus
- อุซเบกิสถานไม่ถูกมองว่าเป็นลูกค้า Pegasus ในช่วงเวลาดังกล่าว
- อย่างไรก็ตาม เท่าที่นักวิจัยทราบ คาซัคสถานและอาเซอร์ไบจานไม่เคยดำเนินการโจมตีด้วย Pegasus ในยุโรป และ Timchenko อยู่ในเยอรมนีตอนที่ติดเชื้อ
- Citizen Lab ระบุว่าไม่พบหลักฐานว่าคาซัคสถานใช้ Pegasus นอกพรมแดน
- อาเซอร์ไบจานเคยใช้ Pegasus ในต่างประเทศ แต่ประเทศที่นักวิจัยมีบันทึกไว้มีเพียงอาร์เมเนีย
ข้อสงสัยเกี่ยวกับ Pegasus ในลัตเวีย เอสโตเนีย และเยอรมนี
- iPhone ที่ติด Pegasus ของ Timchenko ใช้ SIM ของลัตเวีย
- Citizen Lab บันทึกกิจกรรมที่เกี่ยวข้องกับ Pegasus ในลัตเวียครั้งแรกในปี 2018 และผู้เชี่ยวชาญมองว่า Riga ยังใช้ผลิตภัณฑ์ของ NSO Group อยู่จนถึงตอนนี้
- Access Now ไม่ตัดความเป็นไปได้ที่หน่วยข่าวกรองลัตเวียจะเป็นผู้โจมตี
- สองเดือนก่อนการติดเชื้อ ลัตเวียเพิกถอนใบอนุญาตออกอากาศในประเทศของ TV Rain ซึ่งเป็นสื่อรัสเซียในต่างแดนอีกราย โดยมองว่าเป็น “ภัยต่อความมั่นคงของรัฐและความสงบเรียบร้อยสาธารณะ”
- อย่างไรก็ดี Citizen Lab ไม่เคยสังเกตเห็นว่า Riga ใช้ Pegasus โจมตีเป้าหมายนอกลัตเวีย และ Timchenko ติดเชื้อขณะอยู่ใน Berlin
- สำนักงานความมั่นคงแห่งรัฐของลัตเวียตอบว่าไม่มีข้อมูลเกี่ยวกับความเป็นไปได้ของการโจมตีสมาร์ตโฟนของ Timchenko
- ส่วนคำถามอื่น เช่น มีการใช้ Pegasus หรือไม่ และมีการสอดแนมเป้าหมายในต่างประเทศหรือไม่ หน่วยงานปฏิเสธตอบโดยอ้างความลับของข้อมูลปฏิบัติการ
- ยืนยันแล้วว่าเอสโตเนียซื้อสิทธิ์เข้าถึง Pegasus ในปี 2019 และ Citizen Lab ก็สนับสนุนข้อมูลนี้
- Scott-Railton กล่าวว่าได้ติดตามกรณีที่เอสโตเนียติด Pegasus ให้เป้าหมายข้ามพรมแดนในหลายประเทศสมาชิก EU รวมถึงเยอรมนี
- สำนักงานตำรวจอาชญากรรมกลางของเยอรมนีได้สิทธิ์เข้าถึง Pegasus ในปี 2019 และยอมรับการซื้อในปี 2021
- มีรายงานว่าเยอรมนีใช้เวอร์ชันที่ปิดบางฟังก์ชันเพื่อป้องกันการใช้งานในทางที่ผิด แต่ไม่ได้อธิบายว่าทำงานจริงอย่างไร
- Krapiva กล่าวว่า รายงานของ European Data Protection Supervisor มองว่าไม่ใช่แค่ Pegasus รุ่นดั้งเดิมเท่านั้น แต่ Pegasus ในทุกรูปแบบก็แทบไม่อาจสอดคล้องกับกฎหมาย EU และหลักการพื้นฐานได้
ปัญหาสปายแวร์เชิงพาณิชย์ในยุโรป
- Scott-Railton มองว่าการติดเชื้อของ Timchenko ใน Berlin แสดงให้เห็นว่าปัญหา Pegasus ในยุโรปยังไม่ได้รับการแก้ไข
- เยอรมนีไม่ได้ลงนามในแถลงการณ์ร่วมเพื่อรับมือการแพร่กระจายและการใช้งานในทางที่ผิดของสปายแวร์เชิงพาณิชย์
- แถลงการณ์ดังกล่าวมี 11 ประเทศร่วมลงนาม รวมถึง Denmark, France และ Sweden
- Access Now ชี้ว่าสมาชิก EU 4 ประเทศที่กลายเป็นศูนย์กลางใหม่ของผู้อพยพชาวรัสเซียที่ต่อต้านสงคราม ได้แก่ Latvia, Estonia, Germany และ Netherlands ต่างก็ถูกสงสัยว่าเป็นผู้ใช้ Pegasus
- EU PEGA Committee ระบุว่าภายใน EU มีอย่างน้อย 14 ประเทศสมาชิกและ 22 ผู้ปฏิบัติการ ที่เป็นผู้ใช้ Pegasus
- ปัจจุบันมีเพียงสัญญาของ NSO Group กับ Hungary และ Poland ที่สิ้นสุดลงแล้ว
- Access Now มองว่าการโจมตี Timchenko เป็นอย่างน้อยกรณีคล้ายกันครั้งที่สี่ในยุโรปในช่วง 1 ปีที่ผ่านมา
- Meduza ทราบรายละเอียดของกรณีอื่น ๆ แต่ผู้เสียหายไม่ต้องการเปิดเผย
- Krapiva มองว่าแนวโน้มที่ปฏิบัติต่อนักข่าวในยุโรปเสมือนเป็นภัยคุกคามเริ่มสะท้อนอยู่ในกฎหมาย EU แล้ว
- เธอเตือนว่าถ้อยคำบางส่วนของ European Media Freedom Act ถูกทำให้อ่อนลง โดยมี France และ Sweden เป็นต้น จนอาจถูกใช้เพื่อทำให้การสอดแนมนักข่าวภายใต้ข้ออ้างเรื่องความมั่นคงของรัฐมีความชอบธรรม
การตอบสนองของ NSO Group และประเด็นความรับผิดชอบ
- NSO Group ไม่ตอบคำถามว่ารู้เรื่องการโจมตี Timchenko หรือไม่ และลูกค้ารายใดอาจเป็นผู้ดำเนินการเจาะระบบ
- โฆษกของบริษัทระบุว่า Pegasus ขายให้เฉพาะพันธมิตรของสหรัฐฯ และอิสราเอล โดยเฉพาะประเทศในยุโรปตะวันตก และมีวัตถุประสงค์เพื่อรับมืออาชญากรรมและการก่อการร้าย
- NSO Group ย้ำว่าตรวจสอบข้อกล่าวหาเรื่องการใช้งานในทางที่ผิดที่น่าเชื่อถือทั้งหมด แต่ไม่ได้ระบุว่าพร้อมจะเปิดการสอบสวนภายในต่อกรณีของ Timchenko หรือไม่
- The New York Times รายงานในเดือนมกราคม 2022 ว่าระบบ Pegasus บันทึกการโจมตีทั้งหมดเมื่อมีการร้องเรียน และหากลูกค้ายินยอม NSO ก็สามารถทำการวิเคราะห์นิติดิจิทัลย้อนหลังได้
- ในเดือนกรกฎาคม 2022 หัวหน้าฝ่ายกฎหมายและคอมพลายแอนซ์ของ NSO Group กล่าวต่อคณะกรรมาธิการของรัฐสภายุโรปว่า การสอบสวนภายในทำให้มีการยกเลิกสัญญาไป 8 ฉบับ
- Krapiva จาก Access Now กล่าวว่า หลังจากมีเหยื่อหลายร้อยคน พวกเขาสรุปได้ว่ากระบวนการตรวจสอบภายในของ NSO ไม่มีอยู่จริง หรือมีไว้เพียงสร้างภาพ
สถานการณ์ปัจจุบันของ Timchenko และ Meduza
- หลังการเจาะระบบ Timchenko ซื้อโทรศัพท์เครื่องใหม่ แต่ยังพก iPhone เครื่องที่เคยติดเชื้อไว้ด้วย
- Citizen Lab ยืนยันว่าอุปกรณ์ดังกล่าวไม่มี Pegasus ติดตั้งอยู่แล้ว
- Timchenko บอกว่าจะเก็บอุปกรณ์นั้นไว้เป็นของที่ระลึก
- ตั้งแต่เดือนมิถุนายน 2023 ผู้เชี่ยวชาญได้วิเคราะห์โทรศัพท์ของพนักงาน Meduza หลายสิบคน
- ยังไม่ทราบว่าผู้โจมตีต้องการข้อมูลเฉพาะใด
- Alexey หัวหน้าฝ่ายเทคนิคของ Meduza กล่าวว่าจนกว่าจะรู้แรงจูงใจ ก็ต้องตั้งสมมติฐานไว้ที่กรณีเลวร้ายที่สุด
- เขามองว่ายังไม่อาจตัดความเป็นไปได้ที่รัสเซียเป็นผู้สั่งการติดเชื้อ และผลกระทบอาจร้ายแรง
- Timchenko ระบุว่าต่อจากนี้จะดำเนินการตามคำแนะนำของทนาย และจะไม่เงียบ
วิธีรับมือเมื่อสงสัยว่าติดเชื้อ
- หากเชื่อว่ากำลังถูกสอดแนมด้วยสปายแวร์ แนะนำให้สำรองข้อมูลอุปกรณ์และติดต่อ Access Now เพื่อเก็บรักษาหลักฐานการโจมตีที่อาจเป็นไปได้
- วิธีสำรองข้อมูล iPhone: Apple Support
- วิธีสำรองข้อมูล Android: Google Support
- Access Now มองว่าเงื่อนไขต่อไปนี้เป็นเหตุอันสมควรที่จะสงสัยว่ามีการติดสปายแวร์
- เคยถูกหน่วยงานรัฐคุกคามมาก่อน
- ตัวเองหรือคนใกล้ชิดเคยตกเป็นเป้าหมายของการโจมตีดิจิทัลแล้ว
- ได้รับการแจ้งเตือนจากบริษัทเทคโนโลยีรายใหญ่ เช่น Apple, Google หรือ Meta ว่าอาจมีการโจมตีด้วยมัลแวร์
- ได้รับข้อความน่าสงสัยทาง SMS, แอปส่งข้อความ หรืออีเมล
- พบ “unusual login attempts” ในบัญชีของตน
1 ความคิดเห็น
ความเห็นบน Hacker News
Apple รู้หรือพอจะเดาได้ไหมว่าปัญหานี้อาจร้ายแรงแค่ไหน? ไม่ว่า NSO จะใช้เงินเท่าไรในการซื้อ zero-day บริษัทระดับ Apple น่าจะเพิ่ม bug bounty ให้สูงพอเพื่อดึงคนเหล่านั้นเข้ามาทางถูกกฎหมายได้หรือเปล่า? จากบทความอย่างเดียวก็ยังไม่ชัดเจนว่าการติดตั้งต้องอาศัยการกระทำของผู้ใช้หรือไม่ ถ้าไม่ต้อง แล้วคนที่สงสัยแม้เพียงนิดว่าตัวเองอาจตกเป็นเป้าการสอดแนมที่รัฐสนับสนุนควรทำอย่างไร? ดูเหมือนการไม่ใช้โทรศัพท์เลย หรือคอยเปลี่ยนอุปกรณ์มือสองที่ซื้อมาเรื่อย ๆ จะปลอดภัยกว่า
Pegasus ไม่ใช่ผู้ลงมือแฮ็กเพียงรายเดียวอย่างที่บทความจำนวนมากบรรยาย แต่เป็นชุดบริการสำหรับดาวน์โหลดข้อมูลเมื่อมีสิทธิ์ root บนโทรศัพท์ บวกกับคลัง zero-day ที่ไม่รู้ว่าลึกแค่ไหน บางที Pegasus อาจมีช่วงที่ใช้งานไม่ได้เป็นชั่วโมง เป็นวัน หรือเป็นสัปดาห์ จนกว่าจะเปลี่ยน zero-day ตัวใหม่ จากเอกสารที่รั่วไหล เป็นที่รู้กันว่าพวกเขาใช้ทั้ง exploit แบบไม่ต้องคลิกและแบบต้องคลิกผสมกัน และรองรับระบบปฏิบัติการโทรศัพท์หลายตัว
ความสามารถในการแฮ็กของพวกเขาน่าจะถูกพูดเกินจริงมาก เพื่อให้ซัพพอร์ตลูกค้าได้ราบรื่น พวกเขาอาจซื้อ zero-day ทั้งหมดและไม่ได้ค้นหาเองเลยก็ได้ zero-day แบบไม่ต้องคลิกสำหรับ iPhone มีมูลค่าราว 2 ล้านดอลลาร์[1] และบริษัทที่มีสัญญาแบบ NSO ก็ซื้อของแบบนั้นได้จำนวนมาก สื่อที่วาดภาพพวกเขาเหมือนซูเปอร์แฮ็กเกอร์นั้นเป็นการพูดเกินจริงล้วน ๆ ในความเป็นจริง พวกเขาใกล้เคียงกับกลุ่มนักธุรกิจคอร์รัปชันที่รู้วิธีรีดเงินจากรัฐมากกว่า
[1] https://arstechnica.com/information-technology/2019/01/zerod...
นักพัฒนา exploit แค่คนเดียวก็สร้าง zero-day ที่ weaponize แล้วได้หลายตัวต่อปี และคงไม่มีทางที่พวกเขาจะมีนักพัฒนาที่ทำงานแบบนั้นอยู่แค่คนเดียว ดังนั้นมีโอกาสสูงที่พวกเขาจะสะสมช่องโหว่ไว้เป็นสิบ ๆ รายการ บางส่วนอาจหายไปเพราะทับซ้อนกับช่องโหว่ที่เปิดเผยสาธารณะ แต่ควรมองว่าแม้อุดตัวหนึ่ง ก็ยังมีตัวอื่นรออยู่
คำถามว่า Apple จะเพิ่มค่าตอบแทนเพื่อดึงเข้าทางถูกกฎหมายได้ไหมนั้นเป็นคำถามที่ดี แต่ในระดับราคาของ NSO ผมว่าอาจยาก Apple อาจเสนอเงินที่แข่งขันได้ แต่การทำงานกับ bug bounty เสี่ยงกว่ามาก ถ้าโชคร้าย หรือช่องโหว่ไปซ้ำกับที่มีคนรายงานไปแล้ว หรือ vendor เรื่องมาก ก็อาจทำงานนานแล้วไม่ได้เงิน Apple เองก็ขึ้นชื่อในด้านนี้พอสมควร
ถ้าสงสัยว่ามีการสอดแนมที่รัฐสนับสนุน อย่างแรกการใช้โทรศัพท์หลายเครื่องอาจดีกว่า ใช้ โปรโตคอลที่ยืนยันตัวตนแล้ว แทน SMS/MMS และโดยตัวมันเองก็ไม่สมเหตุสมผลที่ใครก็ได้จะส่งข้อมูลที่เราไม่ต้องการมายังโทรศัพท์ได้ ถ้าเป็นผม คงปิดบริการเซลลูลาร์ไปเลย ยกเว้นเวลาจะโทรออกไปยังผู้ติดต่อที่รู้จัก
น่าแปลกใจที่นักข่าวที่ทำข่าวความเสี่ยงสูงไม่เปิดใช้สิ่งนี้เป็นค่าเริ่มต้น exploit แบบไม่ต้องมีปฏิสัมพันธ์จำนวนมากทำงานผ่านช่องโหว่ในตัว decode รูปภาพหรือสิ่งคล้ายกันทันทีที่ได้รับข้อความ แต่ถ้าเปิด Lockdown Mode ไว้ก็จะถูกบล็อก Lockdown Mode ยังปิดการทำงานของฟีเจอร์อื่น ๆ ด้วย สงสัยว่าเคยมีใครเห็นหลักฐานว่าโทรศัพท์ที่เปิด Lockdown Mode ถูกเจาะหรือไม่ ไม่ได้หมายความว่าเป็นไปไม่ได้ แค่สงสัยเท่านั้น
แม้คนที่เมื่อเวลาผ่านไปกลายเป็นคนมองวงการสื่อสารมวลชนอย่างเย้ยหยัน ก็ต้องถ่อมตัวลงเมื่อเห็นความตายและความหวาดกลัวที่นักข่าวต้องอดทนเพื่อเผชิญหน้ากับระบอบอย่างซาอุดีอาระเบียหรือโมร็อกโก Pegasus ยังอยู่บนโทรศัพท์ของ Jamal Khashoggi และคนที่เป็นที่จดจำในฐานะคนรักของเขาด้วย
ต่อให้ NSO เผาของที่ผลิตเองทั้งหมด broker ช่องโหว่ที่ผมรู้จักก็มีสต็อกมูลค่าหลายล้านดอลลาร์เตรียมไว้หลายสิบรายการ เรื่องนี้ไม่ใช่ความลับด้วยซ้ำ broker เหล่านี้ดำเนินบริษัทที่ตั้งขึ้นอย่างถูกกฎหมายในสหรัฐฯ และขายให้รัฐบาล บริษัทเอกชน รวมถึง vendor ที่ทำผลิตภัณฑ์ไม่ปลอดภัยอย่าง Microsoft และ Apple Apple รู้ว่าตัวเองกำลังปล่อยผลิตภัณฑ์ที่มีข้อบกพร่องด้านความปลอดภัยร้ายแรงที่เป็นที่รู้จักอยู่นับสิบถึงนับร้อยรายการ
เหตุผลที่ Apple ไม่ซื้อ zero-day ทั้งหมดมีสองข้อ ข้อแรก เงินซื้อความปลอดภัยไม่ได้ ข้อสอง ประโยชน์ที่ได้ไม่มากกว่าต้นทุน
ความปลอดภัยที่จริงจังใช้เงินแก้ไม่ได้ ปัจจุบัน Apple จ่าย 1 ล้านดอลลาร์[1] สำหรับ remote code execution แบบไม่ต้องคลิกที่มี persistence และจ่าย 2 ล้านดอลลาร์ถ้าทำสิ่งเดียวกันได้ใน Lockdown Mode ซึ่งประมาณราคาเดียวกับขีปนาวุธร่อน Tomahawk หนึ่งลูก เงินรางวัลถูกตั้งไว้ประมาณระดับค่าแรง เพราะการหาข้อบกพร่องด้านความปลอดภัยแบบนี้ใช้เวลาประมาณ 1–3 วิศวกร-ปี หากจ่าย 10 ล้านดอลลาร์ ซึ่งพอ ๆ กับราคาของรถถัง M1 Abrams หนึ่งคัน ROI จะเพิ่มเป็น 10 เท่า และจะมีรายงานใหม่ไหลทะลักเข้ามา เพราะจำนวนข้อบกพร่องที่ตรวจพบได้ในระดับ 10 ล้านดอลลาร์มีมากกว่าข้อบกพร่องที่ตรวจพบได้ในระดับ 1 ล้านดอลลาร์อย่างมาก
แต่ถ้าจะยับยั้งรัฐ ต้องขึ้นไปอย่างน้อยระดับ 100 ล้านดอลลาร์ ซึ่งเป็นราคาของ F-16 หนึ่งลำ แม้ในระดับไม่กี่ล้านดอลลาร์ก็มีข้อบกพร่องด้านความปลอดภัยที่เป็นที่รู้จักอยู่แล้วนับสิบถึงนับร้อยรายการ ดังนั้นในระดับ 100 ล้านดอลลาร์ แทบจะแน่นอนว่าจะมีช่องโหว่นับพันถึงนับหมื่นรายการ ด้วยเหตุนี้ วิธีซื้อช่องโหว่เพื่อป้องกันตัวจากผู้โจมตีที่รัฐสนับสนุน ต่อให้เป็นไปได้ ก็อาจต้องใช้เงินระดับล้านล้านถึงหลายสิบล้านล้านดอลลาร์ ตั้งแต่แรก แทบไม่มีที่ไหนเลยที่ประสบความสำเร็จเกินช่วงเงินไม่กี่ล้านดอลลาร์ด้วยกลยุทธ์การเสริมความปลอดภัยย้อนหลังให้ระบบอย่าง iOS หรือ Windows ซึ่งไม่ได้ถูกออกแบบมาเพื่อความปลอดภัย
Apple ได้อะไรจากการซื้อช่องโหว่ zero-day? แม้จะมีการรายงานข้อบกพร่องด้านความปลอดภัยเป็นพัน ๆ รายการ ผู้คนก็ยังซื้อ iPhone ต่อไป Apple แค่ต้องสร้างการตลาดใหม่อย่าง Lockdown Mode ทุกคนก็สบายใจแล้ว พอบริษัทที่ทำผลิตภัณฑ์ซึ่งยังไม่ถึง 1 ใน 100 ของระดับที่ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐต้องการ ออกคำโปรโมตว่า “ครั้งนี้จะทำได้จริง” ผู้คนก็ยอมรับสิ่งนั้น การที่ Apple เองก็ไม่ได้เชื่อคำโปรโมตของตัวเอง เห็นได้จากการตั้งเงินรางวัลของ Lockdown Mode ไว้ที่ 2 ล้านดอลลาร์ ซึ่งเป็นสองเท่าของ iOS ปกติที่ 1 ล้านดอลลาร์ แต่นั่นก็ยังเป็นราคาแค่หนึ่งในห้าของรถถังคันหนึ่ง ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐจะกลัวเงินเท่ากับเศษเสี้ยวของราคารถถังหรือ? ค่าเปิดร้าน McDonald’s สักสาขายังแพงกว่า บริษัทอย่าง Apple, Microsoft, Amazon, Google, Cisco, Crowdstrike แค่ต้องโกหก และน่าแปลกที่ผู้คนก็ยังเชื่อแม้จะเป็นครั้งที่พัน ยอดขายจึงได้รับการปกป้อง
ระบบ IT เชิงพาณิชย์ไม่ได้ปลอดภัยโดยสมบูรณ์แม้จากผู้โจมตีที่มีเงินทุนระดับปานกลาง หากมีปฏิบัติการที่มีมูลค่ามากกว่า 1 ล้านดอลลาร์ หรือมีความเสี่ยงที่จะถูกโจมตีแบบเจาะจงเป้าหมาย ก็ควรมองว่าระบบใด ๆ ไม่ว่าจะใช้กี่ระบบ ล้วนมีช่องโหว่ 100% หากรับไม่ได้ ก็ไม่ควรใช้ระบบ IT เชิงพาณิชย์มาตรฐานที่มีการเชื่อมต่อ น่าเสียดาย แต่นี่คือทางออกเดียวที่ใช้ได้จริงในตอนนี้ จะยอมรับการประนีประนอมนั้นหรือไม่ เป็นเรื่องที่แต่ละคนต้องตัดสินใจเอง
[1] https://security.apple.com/bounty/categories/
ในอนาคตอันใกล้สักวันหนึ่ง คำว่า “โทรศัพท์มือถือ” ในพาดหัวจะถูกเปลี่ยนเป็น รถยนต์ และผลลัพธ์จะยิ่งน่าเศร้ากว่านี้
สงสัยว่า zero-day ของ Tesla จะราคาเท่าไร
ผู้คนพกโทรศัพท์มือถือติดตัวเหมือนเป็นส่วนขยายของตัวเอง แต่รถยนต์เป็นเพียงพาหนะที่พาเราจากจุด A ไปจุด B
และรถสมัยใหม่ส่วนใหญ่มี Secure Gateway[1] ที่แทบไม่ได้เชื่อมต่ออินเทอร์เน็ต ทำให้ระบบที่เชื่อมต่ออยู่เข้าถึงเครือข่ายส่วนอื่นของรถ เช่น เครื่องยนต์ ระบบส่งกำลัง และเบรก ได้อย่างจำกัด ดังนั้นผมคิดว่าโอกาสเกิดการโจมตีระยะไกลในวงกว้างจึงต่ำ
[1] https://blackberry.qnx.com/en/ultimate-guides/software-defin...
ความหมายเชิงเทพปกรณัมกรีกก็น่าสนุกไม่ใช่หรือ? Pegasus เกิดจากเลือดของ Medusa
เมื่อถูกถามว่า “ทำไมต้อง Meduza? มันเป็นสิ่งมีชีวิตลื่น ๆ และไม่น่าพึงใจไม่ใช่หรือ?” นักข่าวตอบว่าโดยทั่วไปนักข่าวก็น่ารำคาญ ลื่นไหล และแทบไม่มีใครชอบ และนั่นคือแก่นของงานนี้ อีกทั้งการที่ Medusa ทำให้เป้าหมายกลายเป็นหินได้ในพริบตาก็เข้ากับนักข่าวด้วย แต่พูดตามตรง ชื่อนี้เลือกมาโดยบังเอิญ พวกเขาตั้งใจจะตั้งชื่อตามสัตว์ประหลาดกรีกโบราณที่ถูกตัดคอแต่กลับฟื้นคืนมา และหลังเลือก ‘Meduza’ แล้วจึงนึกได้ว่าจริง ๆ แล้วตัวนั้นคือ Hydra แต่ก็สายเกินไปแล้ว
1: https://meduza.io/cards/zaday-vopros-meduze, #75
สงสัยว่า Apple ตัดสินใจอย่างไรว่าเมื่อพบมัลแวร์อย่าง Pegasus แล้วจะแจ้งใครและไม่แจ้งใคร
การแจ้งบุคคลนั้นเป็นเรื่องที่ดี
แต่ถ้าคนนั้นมีชื่อเสียงน้อยกว่านี้มากล่ะ? เช่น คนธรรมดาที่อยู่ในประเทศประชาธิปไตย? Apple รู้หรือไม่ว่าใครเป็นฝ่ายเล็งเป้า? ถ้ารู้ จะมีเกณฑ์แบบ “ถ้าเป็นจีนหรือรัสเซียก็แจ้ง” หรือเปล่า? แล้วถ้าจีนหรือรัสเซียใช้ตัวแทนรับจ้างในประเทศประชาธิปไตยทำแบบเดียวกันล่ะ?
คำถามเยอะเกินไปแล้ว และถ้า Apple ตรวจจับมัลแวร์แบบนี้ได้ ทำไมแอปในเครื่องถึงไม่แจ้งเตือนทันที? เหมือนแอนติไวรัสสำหรับโทรศัพท์น่ะ มันควรมีอยู่แล้วไม่ใช่หรือ ถ้าไม่ใช่ แล้วรู้ได้อย่างไร?
เป็นไปได้ว่าอาจได้รับข้อมูลอย่างบัญชีที่ทราบว่าเคยส่งข้อความอันตราย แล้วไปค้น server log เพื่อดูว่ามันไปถึงใครบ้าง
ถ้าเป็นนักข่าวหรือนักกิจกรรมที่เชื่อว่าตัวเองเป็นเป้าหมายของคนพวกนี้ อยากรู้ว่ามีมาตรการเชิงปฏิบัติอะไรทำได้บ้าง
มีวิธีใช้คนละอุปกรณ์สำหรับแต่ละแอป เช่น แยก WhatsApp, Telegram, Signal ออกจากกัน หรือใช้เว็บฟรอนต์เอนด์แล้วปิดโทรศัพท์ไว้ แต่ไม่รู้ว่าทำได้กับทุกแอปหรือไม่ อีกวิธีคือทิ้งอุปกรณ์เป็นระยะ ๆ ขายต่อเป็นมือสอง แล้วซื้อเครื่องใหม่หรือมือถือมือสอง ใช้อุปกรณ์แค่เพื่อนัดพบในสภาพแวดล้อมที่ปลอดภัยกว่า ไม่พูดใส่โทรศัพท์หรือส่งข้อความ และสมมติไว้เสมอว่าอุปกรณ์ถูกเจาะแล้ว
และควรมีมาตรการคว่ำบาตร NSO ไม่ใช่ NGO คนพวกนี้มันขยะ
พื้นที่สำหรับพกอุปกรณ์อื่น ๆ ก็คงไม่พอด้วย เวลาข้ามพรมแดนคงเกิดเรื่องน่าสนใจไม่น้อย เพราะต้องอธิบายกับด่านตรวจคนเข้าเมืองหรือศุลกากรว่าทำไมมีโทรศัพท์เยอะขนาดนั้น
มันถูกออกแบบมาเพื่อป้องกันการโจมตีแบบนี้โดยเฉพาะ และมีการยืนยันแล้วว่าการโจมตีนี้จะล้มเหลวหากเปิด Lockdown Mode ไว้
ถ้าต้องการให้แน่นอนยิ่งขึ้น ก็ปิด iMessage และไม่ใช้ iCloud เลย
คล้ายกับ GrapheneOS คือค่อย ๆ ลด attack surface ลงอย่างต่อเนื่อง แต่ตัดการประนีประนอมเรื่องการติดตั้งแอปหรือบริการของ Google ออกไปทั้งหมด
โดยพื้นฐานแล้วเป็นโทรศัพท์ที่มีแค่การส่งข้อความแบบเข้ารหัส และให้กล้องกับไมโครโฟนเข้าถึงได้เฉพาะภายใต้เงื่อนไขที่ควบคุมอย่างเข้มงวด ประมาณนั้นทั้งหมด
เมื่อข้อจำกัดสูง ความนิยมก็จะจำกัด ทำให้แทบไม่คุ้มค่าเมื่อเทียบกับต้นทุนในการเล็งเป้า และสำหรับคนจำนวนน้อยที่ต้องการการปกป้องจริง ๆ ก็สามารถให้การปกป้องที่แข็งแรงขึ้นจนคุ้มกับการยอมเสียสละเหล่านั้น
ถ้ามีการดึงข้อความทั้งหมดออกไปและจับภาพหน้าจอบ่อย ๆ การซ่อนทราฟฟิกขาออกคงค่อนข้างยาก ถึงจะเข้ารหัสได้ แต่ปริมาณข้อมูลนั้นซ่อนได้ยาก
ถ้าล็อกโทรศัพท์ไว้ในคอนฟิกขั้นต่ำตั้งแต่แรกก็จะง่ายขึ้น เพราะมีแอปน้อยลงที่จะสร้างทราฟฟิกออกไปภายนอก
คำพูดของ Ivan Kolpakov ที่ว่า “ผมตกใจจริง ๆ ที่มีการพูดคุยกันอย่างจริงจังว่าประเทศยุโรปอาจเป็นผู้ทำเรื่องนี้” ผมมองว่าปัญหาหลักไม่ใช่ความไร้เดียงสา แต่เป็นการที่ก่อนเกิดเหตุเขาไม่ได้ตรวจสอบว่าประเทศยุโรปทำอะไรจริง ๆ ในบริบทแบบนี้
ถ้าตรวจสอบไว้ล่วงหน้า เขาคงไม่ตกใจ แต่กังวลแทน
อีกความเป็นไปได้คือ “ความตกใจ” นี้เป็นความตกใจแบบในหนัง Casablanca
Rick: คุณมีเหตุผลอะไรถึงมาปิดร้านผม?
Captain Renault: ผมตกใจ ตกใจจริง ๆ ที่มีการพนันเกิดขึ้นที่นี่!
[เจ้ามือส่งปึกเงินให้ Renault]
Croupier: เงินที่คุณชนะครับท่าน
Captain Renault: อ้อ ขอบคุณมาก
สงสัยว่ามีอะไรที่ป้องกันไม่ให้ Pegasus แพร่กระจายด้วยตัวเองหรือไม่ หรือว่าจำเป็นต้องติดตั้งผ่าน การโจมตีแบบเจาะจงเป้าหมาย เท่านั้น
มีวิธีสแกนเพื่อตรวจสอบว่าติดเชื้อหรือเปล่าด้วยไหม?
ช่องโหว่บางส่วนที่มีรายงานว่าเกี่ยวข้องอาจ ทำให้กลายเป็นเวิร์มได้ ด้วยซ้ำ แต่ในทางปฏิบัติ ผู้ควบคุมมัลแวร์อย่าง Pegasus มีเหตุผลเชิงปฏิบัติที่จะหลีกเลี่ยงการแพร่กระจายที่ควบคุมไม่ได้ ช่องโหว่ที่ยังไม่ถูกค้นพบและยังไม่ถูกแพตช์ต้องยังคงซ่อนอยู่ต่อไป การแพร่กระจายแบบไม่จำกัดจะเพิ่มโอกาสที่จะถูกค้นพบและวิเคราะห์อย่างมาก เท่ากับเป็นการฆ่า “ห่านที่ออกไข่เป็นทองคำ”
ดังนั้น อย่างน้อยในตอนนี้ คาดว่าการติดตั้ง Pegasus ทั้งหมดน่าจะเป็นผลจากการโจมตีแบบเจาะจงเป้าหมาย ในทางกลับกัน หากเครื่องมือรั่วไหลและผู้ปฏิบัติการหลายรายสามารถใช้งานได้ง่าย แรงจูงใจก็จะเปลี่ยนไป และในบรรดานั้นอาจมีใครสักคนสร้างเวิร์มที่ติดเชื้ออุปกรณ์ทั่วโลกที่ยังไม่ได้แพตช์ก็ได้
การเขียนโค้ดแบบนั้นน่าจะค่อนข้างง่าย แค่ส่ง exploit ผ่าน iMessage ไปยังรายชื่อติดต่อทั้งหมดของเป้าหมาย แล้วทำซ้ำไปเรื่อย ๆ
แต่นั่นจะให้ผลตรงกันข้าม จุดขายหลักของ Pegasus คือการสอดแนมเป้าหมาย และ exploit แบบนี้มีราคาแพงมาก การแพร่กระจายที่ควบคุมไม่ได้จะถูกตรวจพบเร็วขึ้นและเผาทรัพยากรอันมีค่าไปเปล่า ๆ
หาก exploit แบบนี้ราคาถูก ก็อาจมีเหตุผลรองรับเวอร์ชันที่โจมตีสมุดรายชื่อทั้งหมดของเป้าหมายโดยอัตโนมัติเพื่อขุดเครือข่ายความสัมพันธ์ทางสังคม แต่หลังจากนั้นก็จะเกิดปัญหาว่าต้องวิเคราะห์ข้อมูลมหาศาลที่ส่วนใหญ่แทบไม่มีประโยชน์
ในทางเทคนิค Pegasus อาจส่งตัวเองซ้ำเพื่อทำให้อุปกรณ์อื่นติดเชื้อได้ แต่เพราะไม่สอดคล้องกับโมเดลธุรกิจ จึงไม่น่าที่ NSO จะทำเช่นนั้นเป็นประจำ
Amnesty International ก็มี หรือเคยมี เครื่องมือที่ตรวจจับสิ่งนี้ได้: https://github.com/mvt-project/mvt
อย่างไรก็ตาม นี่เป็นการแข่งขันกัน ดังนั้นข้อมูลในอดีตอาจไม่ยังใช้ได้อีกแล้ว แต่ก็ยังคิดว่าในอนาคตโอกาสที่จะใส่ความสามารถในการแพร่กระจายด้วยตัวเองยังคงต่ำ เพราะการติดเชื้อใช้ zero-day ที่แพงมาก และเมื่อถูกค้นพบก็จะถูกแพตช์อย่างรวดเร็ว
เพราะเป็นวิธีที่ง่ายและเร็วที่สุดในการกำหนดเป้าหมายใครสักคน นอกเหนือจากนั้น กระบวนการแยกตัวเป้าหมายออกมาจะซับซ้อนขึ้น ดังนั้นในทางทฤษฎี หากใช้ Lockdown Mode ร่วมกับการไม่เปิดใช้งานหมายเลขใด ๆ บนโทรศัพท์ และปฏิบัติตามมาตรการป้องกันด้านความปลอดภัยทั่วไป ก็น่าจะป้องกันได้เพียงพอ ท้ายที่สุดแล้ว คำตอบคือไม่ใช้สมาร์ตโฟน
สงสัยว่าโทรศัพท์เครื่องนั้นอยู่ใน Lockdown Mode หรือไม่
มีใครรู้ไหมว่า Lockdown Mode มีประสิทธิภาพแค่ไหนในการกัน zero-day ส่วนใหญ่แบบนี้?
https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zer...
“เราเชื่อว่า Lockdown Mode บล็อกการโจมตีเฉพาะครั้งนี้ได้ ตามที่ทีม Security Engineering and Architecture ของ Apple ก็ยืนยันเช่นกัน”
https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-ret...
“ในช่วงเวลาสั้น ๆ เป้าหมายที่เปิดใช้ฟีเจอร์ Lockdown Mode ของ iOS 16 ได้รับการแจ้งเตือนแบบเรียลไทม์เมื่อมีความพยายามใช้ exploit PWNYOURHOME เกิดขึ้นบนอุปกรณ์ แม้ NSO Group อาจพัฒนาวิธีเลี่ยงการแจ้งเตือนแบบเรียลไทม์นี้ในภายหลัง แต่เราไม่พบกรณีที่ PWNYOURHOME ถูกใช้สำเร็จบนอุปกรณ์ที่เปิดใช้งาน Lockdown Mode”
การโจมตีแบบนี้ตรวจจับได้ด้วย เครื่องตรวจสอบแพ็กเก็ตเชิงลึก ส่วนบุคคลที่ทำงานระดับเราเตอร์ หรือเครื่องมือจับแพ็กเก็ตแบบง่าย ๆ ไม่ใช่หรือ?
อีกวิธีแก้แบบง่าย ๆ อาจเป็นเราเตอร์พกพา DIY ที่มีการตรวจสอบแพ็กเก็ตเชิงลึกหรือเครื่องมือวิเคราะห์เครือข่ายในตัว
https://citizenlab.ca/wp-content/uploads/2020/11/Annotated-B...