По данным Forbes, перед выборами команда по кибербезопасности вице-президента США и тогдашнего кандидата в президенты Камалы Харрис обратилась к Apple с просьбой о помощи после того, как инструмент, предназначенный для обнаружения шпионского ПО на iPhone, обнаружил аномалии на двух устройствах, принадлежащих сотрудникам предвыборного штаба. По данным Forbes, Apple отказалась проводить судебно-медицинскую экспертизу телефонов.
Реакция компании не стала неожиданностью для защитников цифровых технологий, работающих с группами риска, часто подвергающимися шпионскому ПО.
В последние несколько лет Apple рассылала уведомления целям и жертвам государственного шпионского ПО, предупреждая их о том, что они могли быть взломаны, и направляя их за помощью. Важно отметить, что Apple предлагает жертвам связаться не с ее собственными инженерами по безопасности, а с некоммерческой организацией Access Now, которая управляет цифровой линией помощи для людей из гражданского общества, которые подозревают, что они стали объектами правительственного шпионского ПО.
«Apple обнаружила, что вы стали жертвой наемнической шпионской атаки, которая пытается удаленно скомпрометировать iPhone, связанный с вашей учетной записью Apple», — говорится в недавнем предупреждении, которым Access Now поделился с TechCrunch. «Эта атака, скорее всего, нацелена именно на вас из-за того, кто вы и чем занимаетесь. Хотя никогда невозможно достичь абсолютной уверенности при обнаружении таких атак, Apple полностью доверяет этому предупреждению — пожалуйста, отнеситесь к нему серьезно».
Хотя может показаться, что Apple отказывается от ответственности за защиту своих пользователей, эксперты по кибербезопасности, работающие с правозащитниками, журналистами и диссидентами, в целом согласны с тем, что подход Apple к предупреждению жертв о атаках шпионских программ является правильным.
Связаться с нами
Есть ли у вас дополнительная информация о правительственном шпионском ПО и его создателях? С нерабочего устройства вы можете безопасно связаться с Лоренцо Франчески-Биккьераи через Signal по телефону +1 917 257 1382, через Telegram и Keybase @lorenzofb или по электронной почте. Вы также можете связаться с TechCrunch через SecureDrop.
«Эти уведомления изменили правила игры в исследованиях по обеспечению ответственности за шпионское ПО», — сказал Джон Скотт-Рейлтон, старший научный сотрудник Citizen Lab, некоммерческой организации, занимающейся исследованием шпионского ПО и расположенной в Школе глобальных отношений и государственной политики Мунка при Университете Торонто.
«Когда я оглядываюсь назад на последние несколько лет, я вижу, что многие из наиболее важных случаев, о которых мы знаем — Польша, Таиланд и многие другие — начались с уведомления Apple», — сказал Скотт-Рейлтон.
Для людей, занимающихся расследованием шпионского ПО, поворотным моментом стал обмен Apple уведомлениями о шпионском ПО с жертвами. До получения уведомлений «мы были как в темноте, не зная, кого проверять», — рассказала юрисконсульт Access Now Наталья Крапива.
«Я думаю, что это одно из величайших событий, которые произошли в сфере такого рода судебно-медицинских расследований и поиска сложных шпионских программ», — сказал Крапива TechCrunch.
Теперь, когда кто-то или группа людей получают уведомление от Apple, они предупреждаются о том, что с их устройством происходит что-то потенциально аномальное, что кто-то нацелился на них и что им нужна помощь. И Apple точно сообщает им, где его получить, по словам Скотта-Рейлтона, который сказал, что линия помощи Access Now — правильное место, потому что «линия помощи способна выполнять качественную, систематическую работу по сортировке и поддержке».
Крапива сообщила, что на линии помощи работают более 30 человек, которых поддерживают другие сотрудники некоммерческой организации. По словам Крапивы, в 2024 году Access Now получила через горячую линию 4337 обращений.
Скотт-Рейлтон, Крапива и эксперт по безопасности Руна Сандвик, которая руководит собственной консалтинговой компанией по цифровой безопасности Granitt для людей, находящихся в группе риска, и уже десять лет защищает журналистов, согласны с тем, что Apple следует прекратить расследование отдельных атак после уведомления жертв.
«Крупные технологические компании не хотят заниматься криминалистической экспертизой устройств или учетных записей людей», — сказал Сандвик TechCrunch. «Я думаю, что это должно оставаться отдельным».
Ева Гальперин, директор по кибербезопасности некоммерческой организации Electronic Frontier Foundation, которая уже более десяти лет занимается расследованием слежки в Интернете, сказала, что Apple все еще может сделать больше для борьбы со шпионским ПО.
«(Apple) могла бы писать более подробные отчеты и подавать больше исков. Это вещи, которые требуют огромных сумм денег, которых нет у НПО и телеметрии», — сказал Гальперин TechCrunch.
На своей официальной странице о наемническом шпионском ПО, последний раз обновлявшейся в октябре, Apple сообщает, что с 2012 года она отправляет уведомления пользователям в более чем 150 странах.
Представитель Apple Надин Хайя сообщила TechCrunch, что «подавляющее большинство пользователей никогда не станут жертвами таких атак, мы глубоко сочувствуем небольшому числу пользователей, которые становятся жертвами, и продолжаем неустанно работать над их защитой», и повторила, что существуют нет известных случаев использования наемнических шпионских программ на устройствах Apple с режимом блокировки. «Наши группы безопасности постоянно работают над отслеживанием наемников-злоумышленников-шпионов, и мы отправляем уведомления об угрозах, чтобы информировать и помогать пользователям, которые, по нашему мнению, подверглись индивидуальной атаке».
Всем, кто получил уведомление, Apple предлагает этим объектам и жертвам шпионского ПО обновить программное обеспечение iOS и все свои приложения. Apple также предлагает пользователю включить режим блокировки — встроенную функцию безопасности iOS, которая в прошлом останавливала атаки шпионских программ, ограничивая функции устройства, которые часто используются для установки шпионского ПО. В прошлом году Apple заявила, что ей не известно ни об одном успешном заражении шпионским ПО, направленном на кого-то, кто использовал режим блокировки.
Скотт-Рейлтон назвал режим блокировки «изменителем правил игры в повышении безопасности устройств людей, особенно людей, которые подвергаются риску».
Все эксперты, с которыми беседовал TechCrunch, настоятельно рекомендуют включать режим блокировки, если вы считаете, что можете стать мишенью, особенно если вы журналист, правозащитник или диссидент.
И если вы получите уведомление от Apple, отнеситесь к этому очень серьезно.
