Злом Джеффа Безоса на iPhone: підказки, які вказують на Саудівську Аравію
Після розкриття інформації про можливий злом режиму Саудівської Аравії Джеффа Безоса було опубліковано технічний звіт про аналіз смартфона бізнесмена. І якщо все вказує на Саудівську Аравію, здається, ніщо формально не підтверджує причетності режиму.
Але хто вкрав дані Джеффа Безоса? У статті Guardian, опублікованій у вівторок, 21 січня, повідомляється, що iPhone боса Amazon і Washington Post - до речі, найбагатшої людини у світі - був зламаний у 2018 році. Можливо, після отримання повідомлення, 1 травня цього року, через зашифровані повідомлення WhatsApp. Допис надійшов від номера, який використовував принц Мохаммед бен Салман (MBS), який кілька місяців тому почав спілкуватися з бізнесменом на платформі, що належить Facebook. Тільки після того, як National Enquirer (американський таблоїд) розкрив подробиці приватного життя Джеффа Безоса, слідчі дістали iPhone X мільярдера для подальшого тестування.
Тому телефон було передано FTI Consulting, фірмі з бізнес-консалтингу, що базується у Вашингтоні. Вчора материнська плата оприлюднила звіт про розслідування, висновки якого також призвели до наследного принца Саудівської Аравії. Але це часткова оцінка на даний момент, і з поважної причини: на мобільному терміналі не виявлено слідів шкідливого програмного забезпечення. Тим не менше, у звіті робиться висновок, що "аналіз смартфона в поєднанні з розслідуваннями, інтерв'ю та іншою інформацією від експертів змушує FTI вважати, що телефон Джеффа Безоса був скомпрометований, можливо, завдяки інструментам Сауда Аль Кахтані (родича Мохаммеда Бен Салман) ".
Про що говорить звіт FTI Consulting
У звіті сказано, що слідчі створили безпечну лабораторію для огляду телефону. Тому розслідування, яке тривало кілька днів, не змогло знайти жодного офіційного сліду зловмисного програмного забезпечення. Однак "підозрілий" відеофайл, надісланий Безосу 1 травня 2018 року Мохаммедом бен Салманом, привернув увагу слідчих. Мабуть, це рекламний фільм про телекомунікації на арабській мові. І файл надійшов із зашифрованим завантажувачем.
Хоча у самому файлі немає нічого особливо приємного, проте саме поведінка телефону привернула увагу слідчих. У звіті пояснюється, що "за кілька годин після отримання повідомлення розпочалося масове та несанкціоноване вилучення даних із телефону Безоса". Після відтворення відео, передача даних пристрою, таким чином, підскочила приблизно на 29000%, з нетиповим піком викидів у кілька сотень МБ, тоді як за шість місяців до отримання відео телефон Безоса мав в середньому 430 КБ завантаження на день.
Також характер обмінів між Безосом та MBS зацікавив слідчих. Зокрема, їх увагу привернули два повідомлення. Перший - це, здавалося б, нешкідливий мем, який включав фотографію жінки, схожої на Лорен Санчес, з якою Безос на той час мав таємний роман. Друге, більш тривожне повідомлення було отримано 16 лютого після приватного телефонного брифінгу Безоса щодо проведення онлайн-кампанії проти нього в Саудівській Аравії та поради йому не вірити всьому, що він чує або що йому говорять.
Сірі ділянки в аналізі
Хоча перша версія статті Guardian, здавалося, вказувала на те, що були використані інструменти ізраїльської фірми з питань комп'ютерної безпеки NSO Group, у звіті FTI Consulting просто передбачається, що фірма такого калібру має ресурси для проведення такої операції. "Удосконалене шпигунське програмне забезпечення, таке як" Пегас "NSO Group або" Galileo "групи злому, може підключатись до програм, обходячи виявлення та скремблювання для перехоплення та вилучення даних", - йдеться в документі. Група NSO захистилася, пояснивши, що її інструменти не використовуються, і що вони все одно не працюють з американськими номерами.
Дослідження, проведене FTI Consulting, також видається неповним за кількома пунктами. Якщо компанія пояснить, що не мала доступу до резервної копії iTunes телефону через забутий пароль (Джефф Безос), деякі експерти сходяться на думці, що ця резервна копія iTunes не дозволила б знайти щось інше, ніж файли, що не представляють реального інтересу.
Інша проблема полягає в тому, що таємничий "завантажувач", пов'язаний з відео, не може бути розшифрований, оскільки весь вміст, яким надається це програмне забезпечення, зашифрований. На думку експерта з безпеки Алекса Стамоса (див. Твіт вище), це може бути просто нормальною поведінкою вкладення, завантаженого в WhatsApp.
Нарешті, якщо хакерство телефону має джерело на WhatsApp, то можна впевнено сказати, що хакери не скористалися жодною вразливістю, і що для вилучення даних також було використано один або кілька недоліків iOS.
Попереду нові розслідування
В заключній записці звіт FTI Consulting показує, що подальший аналіз буде проведений на телефоні Джеффа Безоса зі створенням "нового лабораторного середовища для збору та аналізу стільникових даних з iPhone X". "Попередні розслідування проводились у закритому середовищі, лише через Wi-Fi, без активного підключення до Інтернету, і найскладніші шкідливі програми можуть виявляти такі умови та уникати виявлення", - читаємо ми. FTI також повинен зробити джейлбрейк iPhone, щоб отримати доступ до найбільш конфіденційних даних на терміналі.
Після розкриттів Джефф Безос просто написав твіт у відповідь Джамалу Хашоггі, який працював у Washington Post, який йому належить.
Зі свого боку, експерти Організації Об'єднаних Націй також звертаються до Саудівської Аравії і заявляють, що злом телефону Безоса є частиною "схеми цілеспрямованого спостереження за підозрюваними супротивниками, а також важливих. Стратегічний для саудівської влади". Нагадаємо, Організація Об'єднаних Націй звинувачує саудівський режим у замаху на Джамала Хашоггі, саудівського журналіста, який тоді працював на. Вашингтонський пост.