Puhelin soi ja jätit vastaamatta? Se riitti toimittajia ja oppositiota vakoilevan ohjelman asentumiseksi
Tarina kuulostaa huonolta vakoiluleffalta jostain 1990-luvun loppupuolelta, mutta on mitä totisinta totta. Israelilainen yhtiö erikoistuu murtamaan Android- ja iPhone-laitteiden turvallisuutta ja asentamaan niihin vakoiluohjelmia. Palveluitaan yhtiö kauppaa eri maiden hallituksille ja turvallisuuspalveluille - myös Suomen Puolustusvoimille.
Israelilainen NSO Group kerää järjestelmällisesti tietoa käyttöjärjestelmien ns. nollapäiväaukoista eli turvallisuusaukoista, jotka on löydetty, mutta joita ei ole vielä paikattu. Parasta antia yhtiölle ovat aukot, jotka on löydetty, mutta joiden olemassaolosta edes Google tai Apple eivät tiedä. Tietoa tuollaisista aukoista myydään verkon pimeissä nurkissa valtavilla summilla - ja syystä.
NSO Group kehittää vakoiluohjelmia ja sen asiakaskuntaan kuuluvat hallitukset ja erilaiset valtiolliset turvallisuusorganisaatiot ympäri maailmaa. Yhtiö ei omien sanojensa mukaan myy palveluitaan epämääräisille tahoille, kuten rikollisorganisaatioille. Helsingin Sanomien parin vuoden takaisen jutun mukaan NSO on tarjonnut palveluitaan myös Suomen Puolustusvoimille, joka oli kuitenkin kieltäytynyt tarjouksesta.
Nyt on paljastunut, että NSO Groupin tuotetta, Pegasusta, on käytetty tai yritetty käyttää ainakin 180 journalistin vakoiluun ympäri maailmaa. Listalta löytyy useita nimekkäitä toimittajia, mm. Financial Timesin päätoimittaja, joiden tiedetään päätyneen NSO Groupin seurantaan tai ainakin listalle, jota NSO Group haluaa asiakkaidensa laskuun vakoilla. Listalta löytyy toimittajia käytännössä kaikista merkittävistä toimituksista aina The New York Timesista Al Jazeeraan.
Paljastuksesta uutisoinut The Guardian kertoo ainakin osan journalisteista päätyneen seurantalistalle NSO Groupin asiakkaana toimineen Arabiemiraattien pyynnöstä. Arabiemiraattien oma lehdistönvapaus käytännössä puuttuu kokonaan, maan ollessa yksi pahimmista lehdistönvapautta rajoittavista maista maailmassa. Seurannan paljasti The Guardianin ja Washington Postin johtama 20 median liittouma, joka tutki NSO Groupin toimintaa pitkällä aikavälillä.
NSO Group itse kertoo, että sen Pegasusta saa käyttää ainoastaan terroristien ja rikollisten seurantaan. Medioiden paljastama tietovuoto kertoo muuta: yli 50 000 puhelinnumeron lista, joka listaa mahdollisia Pegasuksen kohteita sisältää useiden tunnettujen toisinajattelijoiden ja toimittajien yhteystietoja. Listalle syötetyt puhelinnumerot ovat ilmeisesti NSO Groupin asiakkaiden toiveita mahdollisista seurannan kohteista.
Mikäli NSO Groupin sovellus saadaan asennettua käyttäjän laitteelle, sillä on pääsy kaikkeen puhelimelle tallennettuun tietoon, kuten journalistien tapauksessa kaikkiin kyseisen toimittajan yhteystietoihin ja tekstiviesteihin. Lisäksi Pegasuksen avulla voidaan seurata puhelimen käyttöä jatkuvasti etänä ja mm. tallettaa puhelut, seurata puhelimen sijaintia ja lisäksi käyttää puhelimen mikrofonia tallettamaan ympäristön ääniä silloinkin, kun puhelinta ei käytetä.
Joitain tapauksia tiedetään, jossa Pegasusta on todistetusti käytetty listalla olevia toimittajien seurantaan. Intialaiset The Wire -verkkolehden toimittajat olivat Pegasuksen vakoilun uhreja jo vuonna 2018, jolloin Intian nationalistihallitus vakoili heidän toimiaan. Toimittajat olivat seuranneet aktiivisesti sitä, miten hallitus syötti sosiaalisen median kanaviin tarkoituksella valeuutisia, nostaen hallituksen toimien suosiota maassa.
Miten NSO Group murtautuu puhelimille?
NSO Group tarjoaa ns. avaimet käteen -ratkaisua asiakkailleen, eli eri maiden hallituksille ja turvallisuusviranomaisille. NSO Groupin Pegasus käyttää tiedossaan olevia käyttöjärjestelmien ja sovellusten tietoturva-aukkoja hyväkseen. Usein näitä tietoturva-aukkoja ei ole paikattu ja pahimmillaan niistä eivät tiedä edes käyttöjärjestelmiä kehittävät tahot.
Yksinkertaisimmillaan vakoiluohjelmaa koetetaan saada asentumaan Suomessakin tavallisille kuluttajille tutulla tavalla: lähetetään epämääräinen tekstiviesti, jossa mukana on linkki ja toivotaan vastaanottajan avaavan sen. Mutta hienostuneemmin vakoiluohjelmat asennetaan niin, että käyttäjä ei edes tiedä puhelimeensa asentuneen mitään, sillä Pegasus osaa ohittaa sovellusten asennusrajoitukset ja tietyissä tapauksissa se pystyy asentumaan täysin ilman käyttäjän osallisuutta asiaan.
Facebook haastoi NSO Groupin oikeuteen pari vuotta sitten, kun yhtiö murtautui WhatsAppia ja Facebookia käyttävien käyttäjien laitteille.
Sovellusta käyttävät tahot - eli hallitukset ja muut toimijat - käyttävät sitten Pegasusta listalla oleviin puhelinnumeroihin ja tutkivat mikä Pegasuksen tukemista kikoista toimii ja saadaanko vakoiluohjelma asentumaan käyttäjän laitteelle.
Edes Applen suljettu iOS-käyttöjärjestelmä ei ole ollut turvassa Pegasukselta, vaan Amnesty Internationalin mukaan myös aivan uusimmatkin iPhonet, joiden ohjelmistot ovat ajan tasalla, ovat olleet Pegasuksen uhrien joukossa.
NSO itse kiistää osallisuutensa mihinkään laittomaan, vaan kertoo "pelastavansa ihmishenkiä" tarjoamalla työkalujaan rikollisten ja terroristien nappaamiseksi. Tunnettu vakoilupaljastaja Edward Snowden toivoo vakoiluohjelmien kauppaamisen kieltämistä.
NSO Group ei ole edes ainoa israelilainen vakoiluohjelmiin erikoistunut yritys. Toinen tunnettu vastaava yritys on Cellebrite, joka on päätynyt otsikoihin viimeisen vuoden aikana mm. siksi, että yhtiö väitti onnistuneensa murtamaan Signalin salauksen.
Maat, joiden tiedetään olevan NSO Groupin asiakkaita, eivät ole mitenkään edistyksellisten maiden maineessa sananvapautensa osalta muutenkaan. Paljastusten mukaan nämä maat ovat NSO Groupin asiakkaita: Azerbaidžan, Bahrain, Unkari, Intia, Kazakhstan, Meksiko, Marokko, Ruanda, Saudi-Arabia, Togo ja Arabiemiraatit. Huolestuttavaa on tietysti se, että EU-maa Unkari löytyy listalta.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT