Комерціалізація мобільного вторгнення: приватні продажі технології експлуатації смартфонів

В цифрову епоху смартфон став найінтимнішим предметом повсякденного життя. Він одночасно є телефоном, щоденником, фінансовим інструментом, камерою та пристроєм глобального позиціонування. Той, хто може проникнути в сучасний смартфон, володіє безпрецедентним ключем до приватного світу людини. Протягом десятиліть здатність проникати в такі пристрої була прерогативою кількох державних служб безпеки з щедрими бюджетами та доступом до передових досліджень.

Як це зазвичай буває з технологіями, ініційованими урядами та прагненими тримати в таємниці, ця монополія зараз руйнується, оскільки технологія перестає бути секретною. Хвиля приватних компаній, багато з яких є стартапами, що виникли в Ізраїлі, Італії, Сполучених Штатах та країнах Перської затоки, комерціалізують можливість проникнення в смартфони, вилучення даних і навіть перетворення їх на інструменти спостереження. Ці компанії продають свою продукцію не лише національним розвідувальним службам, але й імміграційним органам, поліції та іноді клієнтам, чия добросовісність є сумнівною. Зазвичай це включає агентства держав без сильних традицій верховенства права або правової бази, що захищає конфіденційність особистої інформації.

Як працює технологія

Методи, за допомогою яких такі компанії розкривають фортецю сучасного смартфона, різноманітні, але дедалі більше вдосконалюються. Один із методів передбачає так звані експлойти «нульового кліку», коли вразливість у системі обміну повідомленнями телефону, браузері чи операційній системі спрацьовує без жодного натискання користувачем кнопки. Шкідливий код доставляється непомітно та непомітно, відкриваючи двері до повного віддаленого керування. Інший метод спирається на фішинг «одним клацанням», коли ціль заманюють натиснути на, здавалося б, нешкідливе посилання, тим самим встановлюючи шпигунське програмне забезпечення. Потрапивши всередину, зловмисник може отримати доступ до всього вмісту телефону: збережених файлів, фотографій, історії місцезнаходжень, мікрофона та камери, зашифрованих програм, таких як WhatsApp або Signal, і навіть записів живого середовища.

Найвідомішим прикладом такого програмного забезпечення є Pegasus від NSO Group, ізраїльський продукт, який спочатку рекламувався як інструмент боротьби з тероризмом. Однак Pegasus вже не є унікальним; інші фірми, такі як Cellebrite, Candiru, Intellexa та італійська Hacking Team (до власного викриття та краху), пропонували аналогічні послуги. У той час як Pegasus робив акцент на прихованому довгостроковому проникненні, інші компанії зосереджуються на криміналістичному вилученні даних, вилученні пристрою та швидкому клонуванні його вмісту.

Тематичні дослідження з продажу державним установам

Клієнтська база таких послуг швидко розширюється, і низка тематичних досліджень ілюструє, наскільки далекосяжним стало це явище.

• Мексика та Pegasus: Мексика була одним із перших і найбільших клієнтів шпигунського програмного забезпечення Pegasus від NSO. Офіційно ліцензію було придбано для боротьби з потужними наркокартелями країни. Однак у 2017 році з'ясувалося, що Pegasus використовувався проти журналістів, адвокатів з прав людини та антикорупційних активістів, що викликало обурення. Мексиканський випадок показав, що навіть у країні з демократичними інституціями мало хто стримував спокусу використовувати розширене спостереження проти політичних критиків.

  
  

• Саудівська Аравія та справа Хашоггі: Саудівська Аравія також придбала Pegasus, і подальші розслідування показали, що шпигунське програмне забезпечення атакувало соратників убитого журналіста Джамаля Хашоггі як до, так і після його вбивства в Стамбулі в 2018 році. Цей випадок привернув увагу всього світу до наслідків для прав людини, які виникають, якщо авторитарним режимам дозволити доступ до інструментів, які можуть проникнути в будь-який смартфон на землі.

  
  

• Сполучені Штати та ICE: У 2022–2023 роках з’явилися повідомлення про те, що Імміграційна та митна служба США (ICE) придбала інструменти у Cellebrite, ізраїльської фірми, що спеціалізується на судово-медичному вилученні телефонних даних. Ці системи використовувалися не лише в боротьбі з тероризмом, а й у повсякденному імміграційному контролі. Приклад ICE демонструє, як такі технології перейшли зі сфери розвідувальних еліт до стандартного інструментарію звичайних державних установ, що ставить під сумнів питання про пропорційність та нагляд.

  
  

• Європа та команда хакерів: Італійська команда хакерів колись була одним із найвідоміших постачальників технологій для вторгнень. Серед її клієнтів були Марокко, Ефіопія та Казахстан, а також європейські поліцейські агентства. Однак у 2015 році саму компанію було зламано, а її внутрішні електронні листи розкрили продажі урядам з поганими показниками у сфері прав людини. Скандал показав, як легко комерційні компанії можуть поширювати конфіденційні можливості далеко за межі своїх цільових ринків.

  
  

• Intellexa та Греція: Зовсім недавно консорціум Intellexa, що має зв'язки з Грецією та іншими державами ЄС, продавав своє шпигунське програмне забезпечення Predator численним урядам. У Греції викриття того, що опозиційні політики та журналісти стали мішенями для атак, призвели до внутрішньополітичного скандалу у 2022–2023 роках, що продемонструвало, що такі системи можуть бути використані неналежним чином навіть у межах Європейського Союзу.

Ці випадки ілюструють ширшу тенденцію: комерційне шпигунське програмне забезпечення стало світовою експортною галуззю, а список клієнтів охоплює всі регіони: від Сполучених Штатів до Мексики, від Саудівської Аравії до Ефіопії, від країн-членів ЄС до авторитарних режимів у Центральній Азії.

Історична перспектива: від національних монополій до ринкових товарів

Історично, здатність перехоплювати комунікації мала чітку ієрархію. Прослуховування було поширеним явищем, але справжній доступ до зашифрованих цифрових систем був рідкістю. Агентство національної безпеки США, британське Центр правительственної координації зв'язку та кілька інших розвідувальних гігантів інвестували мільярди в дослідження, щоб зберегти свою перевагу. Звичайні поліцейські сили не могли й мріяти про такий охоплення. Що змінилося, так це те, що підприємницькі компанії перетворили державні дослідження на комерційні продукти, монетизуючи вразливості, які колись ревно приховували уряди.

Вирішальним фактором у цьому зрушенні стало використання вразливостей «нульового дня» – недоліків у коді, невідомих навіть виробнику. Якщо колись такі вразливості потрапляли до секретних державних арсеналів, то сьогодні ними торгують на відкритому ринку. Приватні фірми купують їх, перетворюють на зброю та перепродають під готові рішення для спостереження. Межа між національною безпекою та комерційним шпигунством розмилася.

Наслідки широкої доступності

Наслідки цієї тенденції є серйозними. Демократизація технологій вторгнення в смартфони ставить під сумнів громадянські свободи, перевищення державних повноважень та глобальну безпеку. Якщо ICE може купувати системи, здатні зламувати телефони без ордера, що завадить іншим вітчизняним агентствам зробити те саме? Якщо комерційні постачальники готові продавати будь-якому уряду за готівку, що заважає авторитарним режимам зловживати цими системами проти своїх політичних опонентів?

Більше того, зі збільшенням доступу до інформації зростає ймовірність взаємного спостереження. Так само, як ядерна революція середини ХХ століття змусила встановитись баланс терору, поширення цифрових засобів вторгнення може створити нестабільну рівновагу взаємної вразливості. Жоден політик, дипломат чи генерал не може бути впевнений у безпеці своїх комунікацій. Смартфон у кишені стає постійним потенційним шпигуном.

Заглядаючи в найближче майбутнє, найімовірнішим наслідком є те, що технологія поширюватиметься ще більше. Сьогодні це національні агентства та великі поліцейські сили. Завтра це можуть бути провінційні органи влади, корпоративні структури або навіть злочинні синдикати, які купують або копіюють ці інструменти. Ринковий стимул сильний, а бар'єри для входу падають. Ми можемо незабаром жити у світі, в якому конфіденційність смартфонів фактично зникла.

Прогноз: Наступний етап розвитку технологій спостереження

Якщо нинішні тенденції збережуться, кілька груп готові отримати доступ до інструментів для злому смартфонів найближчим часом:

• Авторитарні уряди в Африці та Азії: Держави зі слабким судовим контролем, такі як Уганда, М'янма чи Туркменістан, ймовірно, купуватимуть готові шпигунські програми для моніторингу політичної опозиції. Комерційні постачальники, які прагнуть нових ринків, продовжуватимуть продавати свої послуги в цих регіонах.

  
  

• Правоохоронні органи середньої ланки в демократичних країнах: Муніципальні поліцейські сили в Європі чи Сполучених Штатах, які раніше залежали від федеральних або державних розвідувальних служб у сфері передових технологій, незабаром можуть отримати власні інструменти для судово-медичного злому телефонів. Це розмиє межі між звичайною поліцейською діяльністю та розвідувальними операціями.

  
  

• Приватні корпорації: Енергетичні компанії, фінансові установи або потужні конгломерати в Латинській Америці, Азії та Африці можуть спокуситися розгорнути шпигунське програмне забезпечення проти конкурентів або профспілок. Хоча це незаконно в більшості юрисдикцій, слабке правозастосування та офшорні контракти можуть зробити це можливим.

  
  

• Організовані злочинні групи: Чорні ринки експлойтів нульового дня вже процвітають. Оскільки комерційне шпигунське програмне забезпечення стає все більш поширеним, злочинні синдикати, що займаються торгівлею наркотиками, контрабандою людей або фінансовим шахрайством, майже напевно отримають ці інструменти, або таємно купуючи їх, або перепрофілюючи старіші версії, що просочилися в Інтернет.

  
  

• Технологічні фірми-наймани: Так само, як приватні військові компанії поширилися на початку двадцять першого століття, ми можемо побачити приватні фірми зі спостереження, що діють як підрядники для урядів та корпорацій, пропонуючи «спостереження як послугу». Ці організації продаватимуть не лише програмне забезпечення, а й навчених операторів, що ще більше знижуватиме бар'єри для входу. Приватні слідчі фірми (часто офшорні) неодмінно отримають до них доступ, продаючи їх будь-кому за відповідну плату.

Наслідком такого поширення є глибока дестабілізація інформаційного середовища. Конфіденційність, яка й без того крихка, стане майже неможливою для гарантування. Дипломати, журналісти, активісти та бізнес-лідери можуть бути змушені діяти, виходячи з припущення, що їхні пристрої постійно скомпрометовані. Це, у свою чергу, може спровокувати нову хвилю технологій шифрування, інструментів контрспостереження та, можливо, навіть правових заборон, подібних до договорів про контроль над озброєннями.

Конфіденційність розмита

Зростання кількості приватних компаній, що продають системи експлуатації смартфонів, знаменує собою глибоку трансформацію в архітектурі глобального спостереження. Те, що колись було прерогативою кількох впливових урядів, стає комерційною послугою. Мексиканське неправомірне використання Pegasus, переслідування дисидентів Саудівською Аравією, внутрішній скандал з Predator у Греції та придбання ICE систем Cellebrite демонструють, що ця технологія не обмежується боротьбою з тероризмом, а все частіше застосовується в повсякденній поліцейській діяльності та політичному контролі.

На наступному етапі авторитарні режими, корпорації, приватні особи та навіть злочинні групи отримають аналогічний доступ. Якщо не з'являться міжнародні норми чи правові обмеження, смартфон може виявитися троянським конем двадцять першого століття, несучи в собі зерна суспільства стеження, поширенішого, ніж будь-що могло бути уявлене в попередні епохи.