Amnesty International heeft in een nieuw rapport uitgehaald naar het Israëlische bedrijf NSO Group wegens het leveren van spyware waarmee een Marokkaanse journalist en mensenrechtenactivist werd aangevallen. Eén van de aanvallen vond plaats drie dagen nadat NSO Group een mensenrechtenbeleid aankondigde om misbruik van de spyware die het aanbiedt te voorkomen, aldus de mensenrechtenorganisatie.

De zaak in kwestie gaat over journalist Omar Radi die afgelopen maart werd veroordeeld tot een voorwaardelijke gevangenisstraf van vier maanden en een geldboete wegens het bekritiseren van het gerechtelijke systeem van Marokko. Amnesty onderzocht de iPhone van Radi en ontdekte dat de journalist meerdere keren het doelwit van aanvallen was geweest en tijdens zijn vervolging onder surveillance stond.

NSO Group levert de Pegasus-spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie van het doelwit te bepalen.

Voor de installatie van de spyware werd in het verleden vaak gebruik gemaakt van sms- of WhatsApp-berichten die met een link die naar een exploitpagina wezen. Zodra gebruikers de link openden werd er gebruik gemaakt van een kwetsbaarheid in de telefoon waardoor de Pegasus-spyware stilletjes kon worden geïnstalleerd. Vorig jaar oktober liet Amnesty weten dat aanvallers de Pegasus-spyware ook zonder interactie van het slachtoffer installeren.

Dit wordt gedaan via "netwerkinjectie-aanvallen", waarbij aanvallers het http-verkeer van het slachtoffer onderscheppen en onzichtbaar voor hem of haar naar een pagina met een exploit doorsturen. In het geval van Radi opende hij een link in de Twitter-app die naar een http-link wees, waarna het verkeer werd omgeleid zodat er een exploit tegen zijn telefoon kon worden uitgevoerd.

Om het dataverkeer van Radi's telefoon te onderscheppen hadden de aanvallers toegang tot de infrastructuur van zijn telecomprovider of is er gebruik gemaakt van een malafide zendmaster waarmee de telefoon verbinding maak, stelt Amnesty. Welke methode in het geval van de journalist is toegepast kan de mensenrechtenorganisatie niet zeggen. Nadat er toegang tot de telefoon was verkregen werd onder andere het bestand "com.apple.softwareupdateservicesd.plist" aangepast, zodat de iPhone zichzelf niet meer automatisch zou updaten.

Eén van de aanvallen tegen Radi vond plaats op 13 september 2019. Drie dagen eerder had NSO Group nog een mensenrechtenbeleid aangekondigd dat misbruik van de tools die het aanbiedt moet voorkomen. Dat de aanvallen na de aankondiging van dit beleid doorgingen laat volgens Amnesty zien dat NSO Group niet is te vertrouwen. Het bedrijf stelt in een reactie dat het vanwege contractuele beperkingen niet kan laten weten of de Marokkaanse overheid een klant is, maar dat het mensenrechten respecteert en schending hiervan wil voorkomen.

Vpn en reboots

Amnesty merkt op dat netwerkinjectie-aanvallen lastig voor gebruikers zijn te detecteren. Voorwaarde voor het uitvoeren van een dergelijke aanval is dat er een website via http wordt bezocht. Een vpn kan tegen het onderscheppen van het verkeer beschermen, zo stelt de mensenrechtenorganisatie. Het is wel belangrijk dat gebruikers een betrouwbare vpn-dienst kiezen, aangezien er ook allerlei malafide en dubieuze vpn-apps in de appstores zijn te vinden.

Verder wordt aangeraden om de telefoon geregeld te rebooten. "Recente onderzoeken van onderzoekers suggereren dat zelfs geavanceerde aanvallers moeite hebben om permanente toegang tot een besmette telefoon te behouden. In dit geval zou een reboot van de telefoon de infectie verwijderden. Daarom is het uit voorzorg verstandig om je smartphone zo nu en dan uit en aan te zetten", aldus het advies.