Er is niet bekendgemaakt bij welke commissieleden de schadelijke software is gevonden, maar volgens De Morgen gaat het om onder anderen voorzitter Nathalie Loiseau. In een recent interview onthulde ze dat haar apparaat besmet was met de Israëlische spyware Pegasus. De commissieleden worden nu per e-mail opgeroepen om hun telefoons in te leveren.

https://nos.nl/artikel/2509940-spyware-gevonden-op-telefoons-europese-parlementariers

Pegasus is eigenlijk een chain van exploits, het geheel noemen ze pegasus.
Eerst proberen ze te achterhalen wat voor soort telefoon en OS versie men gebruikt en vervolhens een simpele softmod uit te voeren en daarna persistence via exploitaties.
Soms kan een reboot helpen, maar vaak ook niet, het is hoe dan ook aan te raden eens in de week te rebooten. (Voor het geval men niet verder is gekomen dan een softmod)
Pegasus maakt daarbij gebruik van (zeer dure) zerodays die kunnen worden geupdate via het apoaraat, het heeft wel iets weg van Celebrite.
Pegasus is door de Amerikanen ontworpen, al wordt er vaak geclaimed dat het door NSO group is ontworpen, NSO group heeft er misbruik van gemaakt vandaar dat ze nu op slechte voet staan met de Amerikanen want dat was niet de afspraak.
Als men er zich tegen wilt beschermen kan men het beste een Pixel 8 of 8 Pro aanschaffen, deze hebben een ARMv9 architectuur wat MTE (Memory Tagging Extension) mogelijk maakt, installeer GrapheneOS op deze telefoon voor een goede bescherming, en installeer alleen transparante vrije en open source apps. (FLOSS)
Zorg dat er geen trackers in apps bevinden evenals vreemde permissions.
Gebruik E-Mail extern (via de web browser) en gebruik geen SIMkaart in de telefoon zelf (men kan zonder SIM nog steeds het alamrnummer bellen)
Gebruik hiervoor een mobiele hotspot met SMS functionaliteit en zet de telefoon in airplane modus+WiFi.
No SIM? No Problem!
https://youtu.be/RyirQOCUUK8&t=0
Het beste is om de SMS app uit te zetten door een derde partij SMS app te installeren, deze in te stellen als standaard SMS app en de ingebouwde SMS app vervolgens uit te zetten, deinstalleer daarna de derde partij SMS app eveneens.
In plaats van telefoneren via de dialer kan men een chatapp gebruiken zoals Briar of Molly-FOSS. (Molly-FOSS is een extra bebeiligde Signal fork)
Vergeet niet na de installatie van GrapheneOS de booloader weer te sluiten.
Men kan het beste een tweede profiel aanmaken voor onderweg zodat het profiel dat men thuis gebruikt "at rest" is onderweg. (Dat voorkomt dat gevoelige info in handen komt van derden wanneer de telefoon in een ontsleutelde staat uit handen wordt getrokken)
Zet hoe dan ook autoreboot aan om toekomstige exploits te voorkomen als de telefoon in verkeerde handen is gevallen.
Gebruik TOR of I2P waar mogelijk, of VPN met Wireguard en quantum bescherming. (Mullvad) (Zet split-tunneling voor TOR/I2P applicaties aan in VPN settings en "verbindingen zonder VPN blokkeren" uit in instellingen.
De kans dat mensen dan gehacked worden door Pegasus is dan erg laag en hebben mensen een redelijke verwachting van privacy en veiligheid.

MTE maakt het inderdaad zeer moeiljk framebuffer exploits uit te voeren, GrapheneOS heeft dat goed geïmplementeerd, helaas is dat niet mogelijk op oudere pixels (die zijn ARMv8) al zijn die met GrapheneOS ook zeer goed beveiligd.
Thanks voor de tips!

We moeten alleen niet vergeten af en toe een donatie aan het GrapheneOS project te schenken, dat kunnen ze goed gebruiken voor het veilig houden van onze telefoons.

Klopt, maar vergeet alleen niet een telefoon te kopen zonder abonnement, anders kan het zijn dat de bootloader niet ontsluitbaar is.
Dus een telefoon (Pixel 8/8pro) zonder abonnement is het beste om GrapheneOS op te installeren.

Molly-FOSS [https://molly.im] wordt (nog) niet genoemd door PrivacyGuides.org dus voorzichtigheid is geboden.

Burgerrechtenbeweging pleit voor Europees verbod op gebruik van spyware
donderdag 22 februari 2024, 17:21 door Redactie

https://www.security.nl/posting/830755/EDRi+pleit+voor+Europees+verbod+op+gebruik+van+spyware

Het is inderdaad een minder bekende app, maar de broncode is gewoon beschikbaar dus kan in ieder geval worden geverifieerd door gebruikers.
Ik weet niet of er een security audit is gedaan, maar van wat ik in de code zie zit er niks verdachts in.
https://github.com/mollyim/mollyim-android/releases
Daarnaast heb ik ook geen verdacht verkeer ontdekt tijdens het onderscheppen van mijn verkeer zowel in pcapdroid als in trackercontrol. (Onder andere beschikbaar in de F-Droid repository)
Het is eigenlijk een Signal fork dus is deze app compatible met Signal-gebruikers, heeft extra toegevoegde beveiligingsmogelijkheden en het is daarnaast erg fijn dat de gehele source code vrij is in tegenstelling tot Signal waarin proprietaire gedeeltes zitten. (Voornamelijk Google maps integratie e.d.)
Maar eerlijk gezegd stap ik het liefst volledig over op een self-hosted of serverloze oplossing aangezien men dan niet gebanned wordt, servers niet kunnen worden afgesloten door overheden en ben iets minder afhankelijk tijdens een blackout (vanwege een mesh-netwerk) en heb het heft volledig in eigen handen, ik vind altijd dat men al teveel software uit handen heeft gegeven, en met wetten zoals de sleepwet kan veel onversleuteld internetverkeer (of die met backdoors) gesleept worden.
Daarnaast kies ik het liefst voor apps die geen telefoonnummer gebruiken als identifyer, zowel Signal als Molly zijn dat helaas niet.
Mijn oog valt daarom op Briar/Briar mailbox, een Matrix client of een web-only oplossing zonder app. (In dat laatste geval gebruik ik een app om updates zoals inkomende berichten te laten pushen naar mijn telefoon)
Ik ben helaas niet bekend met privacyguides.org, dus daar kan ik weinig over zeggen, ik zal even een kijkje nemen, mijn dank voor de tip!

Ik heb net even gekeken, molly staat weldegelijk op privacyguides onder Signal configuratie en hardening:
https://blog.privacyguides.org/2022/07/07/signal-configuration-and-hardening/
Het is overigens een goede website inderdaad, heb hem aan mijn favorieten toegevoegd!

Een audit, daar is dus het wachten op, want in je eentje kun je dat niet doen (tenzij je Matthew Green heet en cryptograaf bent). Beide versies van Molly ondersteunen overigens reproduceerbare builds, wat betekent dat het mogelijk is om onafhankelijk te bevestigen dat de gecompileerde APK's overeenkomen met de openbaar gepubliceerde broncode.


Daarmee beperk je jezelf tot het handjevol activistische doe-het-zelf gebruikers waarmee jij toevallig contact onderhoud. Dat valt waarschijnlijk meer op dan je lief is (ook in het geval je je favoriete chat in een mesh gaat toepassen). Opgaan in de veel grotere grijze massa van gewone Signal (of desnoods Tor) gebruikers heeft daarom zo zijn voordelen.

Signal gaat telefoonnummers van gebruikers standaard afschermen
woensdag 21 februari 2024, 09:20 door Redactie

https://www.security.nl/posting/830460/Signal+gaat+telefoonnummers+van+gebruikers+standaard+afschermen

Inderdaad, Molly heeft het inmiddels al geïmplementeerd, maar ik bedoelde meer dat men nog steeds een telefoonnummer nodig heeft om zich aan te melden, dat probleem gaat niet weg, daarnaast zijn er nog steeds servers die niet in ons eigen bezit zijn, met een wet zoals CSS kan daar zomaar een achterdeurtje worden ingebouwd en een knevelorder daaraan vast zodat bedrijven daar niks over mogen zeggen.

Opvallen maakt niet uit, zolang er maar niemand bij kan, of het kan lezen, en er achterdeurtjes in kan bouwen dat is het belangrijkste, opvallen doen we allemaal aangezien zoiets hoe dan ook geautomatiseerd is, tegenwoordig kunnen geheime diensten zeer gemakkelijk die ene dissident uit de grote menigte trekken zonder er handmatig in te hoeven kijken dankzij de sleepwet, dat kan nu alleen nog niet via versleutelde diensten, vandaar dat men die CSS wet wou aanschaffen, met een eigen oplossing is men veel veiliger wat dat betreft.
En Molly gebruikt eveneens TOR al is dat niet zo nuttig omdat men zich identificeert via een telefoonnummer, ook over TOR.
Briar is wat dat betreft handiger, alleen ook deze is inderdaad niet echt ha dig voor gewone gebruikers, het is ideaal voor oa. journalisten en whistelblowers.

En ook Briar heeft overigens eveneens TOR ingebouwd, ook met optionele bridges. (In Nederland zijn bridges in de meeste gevallen niet echt vereist)
Juist die alternatieve oplossingen die in eigen bezit zijn, zijn vaak de meest veilige oplossing.
Juist de AIVD en de NCTV zijn juust uit op het slepen van de grote menigten, de vissen waar ze apart voor moeten onderzoeken of zelfs een gerechtelijk bevel aanvragen als het buiten om diensten van derden gaat doen ze niet tenzij het daadwerkelijk om extreme dreigingen gaat, al is het hacken van zulke oplossingen niet altijd even makkelijk, vaak is juist dat handwerk.

1: GrapheneOS vereist veel werk om te hacken als dat al realistisch is, en tijd is geld, voor die paar enkelingen die zo'n setup hebben is dat de moeite niet waard.
2: Diensten die niet gelinkt zijn aan een derde partij (zoals Google, Apple, Amazon, Microsoft, ad-bedrijven en anderen waar klanten zich mee hebben verweven) kunnen niet door een sleepwet gevist worden, die moeten eerst door een rechter beoordeeld worden alvorens mensen toestemming krijgen te hacken, die toestemming krijgt men alleen in de meest extreme gevallen.
3: Juist met grote netten (sleepnet) vissen in de oceaan is het gemakkelijker vangen en kan men met "AI" (algoritmes) volledig zonder mensenhanden uitzoeken wie er wat heeft gezegd, en zoekwoorden zoals "Rutte varken" worden er uit gehaald.
Juist dan is alleen een verkeerd geplaatst woord al een kijkje waard door een mens, maar dat geld tot op heden alleen voor onversleutelde diensten.
4: Met met een wet zoals CSS wordt dat ook mogelijk voor versleutelde diensten.
Dit doen ze onder het mom van het "beschermen van kinderen", al heeft men inmiddels commerciele belangen en wil men het uitbreiden voor Integratie met de sleepwet, het is geen transparante oplossing, maar het werkt.
Die diensten met externe servers die niet in eigen beheer zijn zoals Signal, WhatsApp, (WhatsApp is overigens al backdoored) en dergelijke diensten zullen dan te prooi vallen aan de geheime dienst en zullen zij verplicht een achterdeurtje moeten inbouwen, tevens krijgen zij een knevelorder waarin het bedrijf daar niks over kwijt mag. (Daar hebben we whistleblowers voor, pssst!)
5: Juist servers die thuis staan in eigen beheer, mesh diensten die eventueel volledig offline kunnen werken of via de dekking van andere gebruikers en die een transparante open bron hebben die we eventueel zelf kunnen compileren vallen niet onder een account via diensten van derden, juist die vissen worden niet gevangen in het sleepnet.
Ook airgapped systemen zijn juist om dat soort redenen zo veilig, toen de LineageOS servers werden gehacked konden hackers ook niet bij de rootcertificaten aangezien deze in een ander cicuit zaten, een soort mesh. (Al leg ik dat misschien niet goed uit)
Als het al opvalt maakt het niet uit, want met een ander IP-adres (TOR of I2P) en geen identiteit aan de verzender vast, evenals een versleutelde dienst die geen backdoor heeft is dat nutteloos, daarnaast heeft men dus toestemming van een rechter nodig als het gaat om eigen systemen die niet via internet zijn verbonden aan externe servers van bedrijven.
Net zoals met Lemmings springen mensen vaak achter elkaar het water in; mensen gebruiken allemaal dezelfde diensten, de AIVD en NCTV maken daar gretig misbruik van via de sleepwet, het is juist ideaal voer voor ze, alsof het een walvis is die de plankton verzamelt, de rotte visjes worden er naadloos tussenuit gehaait, of het nou een terrorist is of een whistleblower, journalist e.d.
6: Net zoals in Amerika geldt in Nederland ook een soortgelijke wet;
https://en.m.wikipedia.org/wiki/Third-party_doctrine
Integriteit van privacy is erg belangrijk, en al helemaal voor een land zoals Nederland, we moeten onze identiteit behouden, dus moeten we dit niet toelaten, en ja, daar hebben we weldegelijk controle over, het vereist alleen een drastische aanpak van hoe we het internet en software gebruiken, maar het is de kleinere opoffering in mijn opninie meer dan waard.

Om GrapheneOS te hacken heeft men inderdaad enorm dure exploits nodig, vaak zijn deze al na korte tijd nutteloos, daarnaast valt GrapheneOS niet onder een sleepwet aangezien het een autonoom systeem is, van de rechter krijgt men echt geen toestemming om zo'n dure hack uit te voeren als dat uberhaupt al mogelijk is aangezien GrapheneOS het aanvalsoppvervlak voor onbekende zerodays verkleint, met een Pixel 8/8Pro is dat al helemaal moeilijk aangezien framebuffer exploits praktisch onmogelijk zijn uit te voeren dankzij de MTE-integratie. (Het verschilt per setup en hoe mensen hun opsec behandelen.)
https://grapheneos.org/features

A crypto nerd's imagination:

His laptop's encrypted.
Let's build a million-dollar
cluster to crack it.

- No good! It's 4096-bit RSA!

Blast! Our evil plan is foiled!


What would actually happen:

His laptop's encrypted.
Drug him and hit him with
this $5 wrench until
he tells us the password.

- Got it.


https://imgs.xkcd.com/comics/security.png

:-D Haha! Inderdaad, maar ik zit op het ISS, en dat is te duur om uit de lucht te halen... (Collega achter me met een moersleutel en handboeien...)

Ouch! Haha! Dan zal ik inderdaad een duress-wachtwoord moeten invullen om mijn telefoon te wissen, wat er met mij gebeurd is dan nutteloos.
https://f-droid.org/fr/packages/me.lucky.duress/

Als ze dat soort dingen zouden doen wordt het wel heel erg snel tijd om ons te ontdoen van geheime diensten. (De schurken, de bad guys, in dat geval)
Dat bewijst alleen maar het gelijk van het volk, en helaas in veel landen is dit (moersleutels e.d.) inderdaad het geval, hele volkeren "verdwijnen" in strafkampen (China) of in het geheel, (Midden Oosten) vandaar dat achterdeurtjes en zerodays niet gedoogd moeten worden, wat hier wordt gebruikt om een enkele crimineel mee op te pakken kost koppen in een ander land, die achterdeurtjes haal je immers niet zomaar even weg, daar wordt flink misbruik van gemaakt in andere landen. (Ook in Europa trouwens)
Daarnaast is het enorme schendig om de menselijke integriteit en privacy, zeker in Westerse landen.