Pegasus. Jak działa oprogramowanie do inwigilacji? Wykorzystuje luki w systemach telefonów

O śladach wykorzystania szpiegującego systemu Pegasus w Polsce informowaliśmy już kilkanaście miesięcy temu. W ostatnich dniach temat wrócił w związku z zatrzymaniem Sławomira Nowaka. Odpowiadamy, czym jest i jak działa oprogramowanie służące do inwigilacji.

Przy okazji zatrzymania byłego ministra transportu Sławomira Nowaka, pojawiły się podejrzenia o wykorzystanie przez CBA szpiegującego oprogramowania Pegasus w celu zebrania dowodów obciążających polityka PO. Centralne Biuro Antykorupcyjne nie potwierdziło jednak, że znajduje się w posiadaniu systemu przeznaczonego do inwigilacji.

Przypomnijmy, że Nowak jest podejrzany o żądanie i przyjmowanie korzyści majątkowych i osobistych w zamian za przyznawanie prywatnym podmiotom kontraktów na budowę i remont dróg na Ukrainie, a także o pranie pieniędzy. W efekcie tych przestępstw miał uzyskać 1,3 mln zł.

System Pegasus. Jak działa oprogramowanie szpiegujące?

Jak podaje Wikipedia, Pegasus to oprogramowanie szpiegujące, które może zostać zainstalowane na urządzeniach działających pod kontrolą iOS (system operacyjny firmy Apple dla urządzeń mobilnych) oraz Android. System został opracowany przez izraelską firmę NSO Group.

W rozmowie z TVN24 były szef departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji Piotr Januszewicz wyjaśniał, na jakiej zasadzie działa system Pegasus. Jak mówił Januszewicz, oprogramowanie wykorzystuje podatności, czyli luki w systemach telefonów. Te pozwalają na użycie urządzenia do innych funkcji, niż zostało przewidziane. Od momentu włamania telefon wykonuje działania zaprogramowane przez tego, który się włamał. Taki system jak Pegasus umożliwia dostęp do wszystkich funkcji telefonu, jak połączenia, SMS-y, wszystkie dane, lokalizacja, mikrofon i kamery. Wszystkie zdjęcia czy wiadomości będą po jego zastosowaniu dostępne. 

Jak dochodzi do zainfekowania systemem Pegasus?

Jak czytamy na łamach serwisu dobreprogramy.pl, zainfekowanie systemem Pegasus następuje zazwyczaj, gdy użytkownik kliknie na spreparowany link, zwykle wysłany od kogoś, kto podszywa się pod osobę, którą znamy (np. w mailu). "Wtedy następuje komunikacja urządzenia ofiary z serwerem zawierającym złośliwe oprogramowanie, które "zaraża" urządzenie ofiary" - podano.

Zaznaczono również, że istnieje drugi rodzaj ataku, który nie wymaga nawet udziału użytkownika. Infekcja telefonu odbywa się wtedy automatycznie, gdy ofiara otrzymuje link w komunikatorze bądź wiadomości SMS, który zostaje wyświetlony w powiadomieniu aplikacji.

W Next.gazeta.pl pisaliśmy, że Pegasus jest w Polsce wykorzystywany od listopada 2017 roku. Jak podała organizacja The Citizen Lab, działająca w ramach Uniwersytetu w Toronto, w samej Europie znajdowało się wówczas siedem państw, gdzie znaleziono ślady wykorzystywania izraelskiego oprogramowania. W tej grupie znalazła się także Polska, gdzie z oprogramowania korzystał operator kryjący się pod nazwą "ORZELBIALY".