A jelenlegi megfigyelési botrány - mert ez nem holmi uborkaszezonra felkapott téma csupán, amit az újságírók fújnak fel - olyasmire irányította rá a figyelmet, ami szinte a számítógépek és az internet használat tömeges elterjedése óta velünk van. Ez pedig a digitális eszközök segítségével végrehajtott megfigyelés, adatszerzés.

Amikor az állam kíváncsi...

Az okostelefonok használata erre a célra csak egy újabb eszköz, igaz meglehetősen fejlett és sokat tudó. Nem az első és gyaníthatóan nem is az utolsó alkalom, amikor az derül ki, hogy egy (vagy több) kormány vesz (használ) egy (a szavak szintjén legalábbis) eredetileg más célra szánt eszközt. Edward Snowden óta tudjuk, hogy az amerikai kormány hírszerzéssel foglalkozó ügynökségei között (is) vannak olyanok, amelyek átlépik a számukra megszabott határokat. Da van példa ilyesmire (Kelet- és) Nyugat-Európában is. Az sem titok, hogy a kormányok mellett (olykor helyettük) magáncégek végeznek el olyan feladatokat, amik egy állami szervezet számára törvény által tiltottak, de legalábbis kellemetlen kérdéseket lehet feltenni azokkal kapcsolatban. A gyümölcsöző együttműködés eredménye pedig egy (vagy több) nyugodtan nyilatkozó politikus és/vagy kormánytisztviselő, aki elmondja, hogy a kormánynak semmilyen szerepe sincs az ügyben. 

Persze mindez csak fikció, a köd kavarog (sokan kavarják szorgalmasan). Azt lehet tudni, hogy volt valami, a nyomok látszanak, csak az nem világos, hogy pontosan mi történt? Elég komoly médiazaj, vagy éppen hallgatás. Magyarországon a magyar Watergate, vagy a nem is biztos, hogy egyáltalán történt valami, pláne törvénytelen típusú megszólalások árnyalják, vagy éppen maszatolják a képet. Egymásnak homlokegyenest ellentmondó vélemények, a dolog természetéből következően nehezen bizonyítható tényállítások.

Nem most kezdődött

Jó néhány évvel ezelőtt a FinFisher (FinSpy) nevű kémprogram és annak vélhetően hazai alkalmazása vetett hullámokat. Az akkoriban elég komoly hullámokat vető történet mára csaknem elfelejtődött.

A mostani ügy kapcsán azért levonhatók tanulságok: célkeresztbe kerülni viszonylag könnyű, a politikának és a befolyásnak van szerepe, de nem kizárólagosan. Jelenleg a Pegasus szerepel a fő- és alcímekben, de tudható, hogy sok másik hasonló eszközt alkalmaznak magán- és állami szereplők jelenleg is megfigyelési céllal. A demokratikus berendezkedésű országokban a bűnüldözés és a terrorizmus elleni harc a jelszó, bár újra és újra kiderül, hogy nem csak az a cél. A többi használónál pedig bűnözőnek, terroristának, veszélyes elemnek címkéznek bárkit, aki ellen alkalmazzák ezeket a programokat. 

Lakossági megfigyelés

De ennyi elég is a Pegasusról, ami valójában csak apropó a mai témához: ez a titkos adatgyűjtés, megfigyelés "lakossági" változata. Gondolom, nem árulok el titkot azzal senkinek, hogy se szeri se száma az Android és iOS operációs rendszerű okostelefonokra letölthető különféle hasonló célú alkalmazásoknak. A hivatalos alkalmazásboltokban is rengeteg találatot kapsz a nyomkövető, megfigyelő, lehallgató kulcsszavakra és ez csak az úgymond legális kínálat. Az Android és persze némi ügyeskedés után az iOS is lehetővé teszi más forrásból is a telepítést. Ez tovább tágítja a lehetőségeket, ezzel együtt pedig elvész a hivatalos alkalmazásboltok jelentette legalábbis viszonylagos biztonság.

Ezzel az írással nem ötleteket szeretnék adni ilyesmire, pláne nem az efféle alkalmazások használatára buzdítani bárkit is: a vélt/remélt előnyök mellett komoly veszélyt is jelent sok közülük. Nem állítom, hogy az előbbi keresőszavakra adott találatok mindegyike veszélyes és/vagy a tisztesség határán, vagy azon túl mozgó program lenne, de bőséggel akadnak közöttük ilyenek is. Ugyanakkor - bár ennek az írásnak nem témája - ebben a körben is sok korrekt és szabályos tevékenységhez, tisztességes támogatást nyújtó alkalmazás van. Sokszor nem is maga az alkalmazás, hanem a használat módja dönti el, túllép-e a felhasználó a jogszerű és etikus használat határán.

A kínálat vegyes: babafigyelő, IP kamerakezelő, családi készülékkereső, titkos eszközt felderítő és még hosszan lehetne sorolni az ide tartozó appok szolgáltatásait. Jelentős részük valamilyen teljesen szabályos tevékenységhez - biztonsági kamera képének megtekintése, autóba szerelt GPS nyomkövető ellenőrzése - nyújt támogatást, de vannak alapból elővigyázatosságot igénylő ajánlatok is. Itt is kérdéses persze, hogy például egy autós nyomkövetésre használt alkalmazást nem célszerűbb-e a GPS gyártójától/forgalmazójától esetleg némi fizetség ellenében beszerezni, vagy inkább egy ingyenes megoldás lesz a nyerő?

Forrás: Google Play Áruház

Az egyik népszerű "gyermekkövető" a gyerek okosórájának vagy telefonjának aktuális helyzetén kívül az eszköz környezetébe való belehallgatást is ajánlja szolgáltatásként. Az ilyen lehetőségek indokaként a gyermek biztonsága szokott előkerülni, de a "hallgatózás" a gyerek (és akár mások) jogainak sérelmével is járhat. Túl mindezen az is kérdés, hogy pontosan mi történik ezekkel az adatokkal a továbbiakban? Erre - jó esetben legalábbis - az alkalmazás felhasználási feltételei és adatkezelési tájékoztatója adnak választ. Ugyancsak ezekben a dokumentumokban található meg az az információ is, hogy az adatok tárolása és feldolgozása hol történik? Az EU-n belül, vagy egy adatkezelési szempontból biztonságos harmadik ország területén, esetleg valahol máshol a világban? Ha ez nem derül ki egyértelműen, akkor minimum kockázatos a telepítés.

Az igényelt jogosultságok szintén lényegesek. Nem mindegy, hogy melyik készüléken mire tart igényt egy ilyen alkalmazás. A képernyőkép, hang-, fotó-, video készítés indokolt lehet, de mi a helyzet akkor, hogyha a szülő címjegyzéke is szükséges a telepítéshez? Különösen ingyenes alkalmazásoknál személyes adatokkal fizethetsz a program használatáért, ami így már nem biztosan éri meg. Az alkalmazásboltok tesznek ugyan lépéseket a biztonság növelése, a csaló és veszélyes alkalmazások kiszűrése érdekében, de ez nem mindig elegendő, különösen akkor nem, ha az alkalmazás fejlesztője megadja a - felhasználók által sok esetben el sem olvasott, de elfogadott - tájékoztatást az adatok kezelésével kapcsolatban. További gond lehet, ha a frissítések telepítésekor kér és kap az alkalmazás további jogosultságokat az eredetihez képest.

Érdemes az alkalmazás fejlesztőjének is utánanézni: cég, vagy egyszemélyes vállalkozás, amire az adataidat bízod, milyen más appokat fejlesztett, milyenek az értékelések (ez persze megint nem 100%, elég sok a kamu értékelés), mennyire aktív a támogatás?

A gyerek, házastárs, vagy akár ismerős, kolléga utáni "nyomozás" nemcsak tisztességtelen, de akár veszélyes is lehet. Az ESET számítógépes biztonsági cég közelmúltbeli kutatása kiderítette, hogy sok megfigyelésre használt alkalmazás lop adatokat az azokat mások megfigyelésére, követésére használó telefonjáról is. Ezek az úgynevezett stalkerware, vagy spouseware (házastárs megfigyelő) appok, amelyeket titkos, olykor álcázott használatra fejlesztettek ki. Biztonságot ígérnek, de a kutatás 58 ilyen androidos alkalmazásban 150 biztonsági és adatvédelmi problémát tárt fel. A lehetséges következmények között szerepel a megfigyelő(zaklató) eszközének feltörése, a bizalmas személyes információk kiszivárgása. A megfigyelés során szerzett adatok gyűjtése és tárolása olykor a használat befejezését követően is folytatódik. A telefonokról megszerzett személyes adatokat később zsarolásra használhatják, vagy a feketepiacon köthetnek ki.

A cső másik végén...

Mi történik akkor, ha Te válsz célponttá? Van-e lehetőséged megelőzni a lehallgatást, kémkedést? Milyen ellenlépéseket tehetsz?

Az általánosságban elmondható, hogy nincs egyetlen biztos módszer, mi több, lehetnek olyan helyzetek, amikor semmilyen módszer nincs a védekezésre. Egy Pegasus típusú, fejlett kémeszköz célbajuttatásához nincs szükség arra, hogy a megfigyelő fizikailag hozzáférjen a készülékhez és a felhasználónak sem kell közreműködnie, például egy üzenetre kattintással. Ilyen esetben jelenthet - legalábbis részleges és időleges - megoldást az amerikai NSA ajánlása a telefon időnkénti újraindítására. A nehezebb felfedhetőség érdekében ezek a programok csak a telefon memóriájában futnak, nincs telepíthető részük. Az újraindítást követően a kémprogramot ismét el kell juttatni a megfigyelni kívánt telefonra. Egy elszánt elkövetőt ez nem fog visszatartani, de a dolgát mindenképpen megnehezíti.

A mobiltelefonok lehallgatásához az államnak legalábbis semmilyen trükkre sincs szüksége. A mobilszolgáltatókat együttműködési kötelezettség terheli: mindegyiküknél megtalálhatók azok a berendezések, amelyek segítségével lehallgathatók a mobilhálózaton folyó beszélgetések és elfoghatók az üzenetek. Ez persze csak a hagyományos mobilhívásokra és üzenetekre igaz, ezzel a módszerrel semmit nem lehet megtudni a megfigyelt személy telefonjának tartalmáról és a végponttól végpontig tartó titkosítást alkalmazó programok üzenetváltásai sem hozzáférhetők. A nem állami megfigyelők számára ez a módszer nem elérhető, ha pedig a megfigyelőket más is érdekli a hívásokon és SMS-eken kívül, akkor előkerülnek a különböző technológiájú és hatékonyságú kémprogramok. Itt azért egyik-másik alkalmazás ellen hatásos lehet a megfontolt eszközhasználat (amikor nem kattintasz bármilyen bejövő üzenetben található linkre azonnal), vagy egy megbízható biztonsági alkalmazás (aminek a használata androidos telefon esetén egyébként is ajánlott). A zero-clikck spyware (kattintást nem igénylő kémprogram) a nagyok játéka, de van már olyan fejlett és nehezen megtalálható kémprogram, ami nem a Pegasusnál is alkalmazott technológiát használja, de hasonlóan hatékony. Ezek a szabályok nem védenek meg a Pegasustól és a hozzá hasonlóan fejlett kémprogramoktól, de sok más esetben megnehezíthetik a telefon feltörését, lehallgatását (és az általános biztonságon is javítanak):

• A telefonod lezárása legyen automatikus bizonyos idő után, a felnyitáshoz állíts be PIN kódot (ami nem a születési dátumod, vagy hat darab egyes, illetve más könnyen kitalálható szám), jelszót, mintázatot, biometrikus azonosítót!
• Ne hagyd őrizetlenül a telefonod, különösen nyilvános helyen!
• Ne add kölcsön a telefont senkinek, soha, semmilyen célra!
• Használj elismert, biztonsági alkalmazást!
• Telepíts megfontoltan és legális forrásból!

Ha pedig úgy sejted, hogy téged is megfigyelnek/megfigyeltek a Pegasussal és iPhone-t használsz, az iMazing szoftverével meggyőződhetsz arról, hogy gyanúd helytálló-e? Androidos mobilra továbbra is az Amnesty International által fejlesztett MVT (Mobile Verification Toolkit) használható, amit a GitHub-ról tölthetsz le. Ez nem egy azonnal telepíthető alkalmazás, a használatához informatikai hozzáértésre van szükség. Az iMazing alkalmazása is az MVT-re épül és ahhoz hasonlóan a biztonsági mentés adatainak elemzésével deríti ki fertőzött-e, vagy fertőzött volt-e a telefon?

Ha a biztonságos és etikus megoldásokat választanád, akkor a számítógépes (okostelefonos) biztonsággal foglalkozó cégek alkalmazásai között találhatsz megfelelőt például gyermeked biztonságának növelésére. Ezek az appok nem titokban működnek, az adatkezelésük átlátható. Olvashatsz erről a Szülői felügyelet (Parental Control) című cikkben.

Ha tetszett az írás, oszd meg barátaiddal, kövesd a Gyerek.Net.Info Facebook oldalát! Csatlakozz az Internetes biztonság - gyerekeknek, felnőtteknek csoporthoz! Véleményedet, kérdéseidet megírhatod a Facebookon, vagy regisztrációt és bejelentkezést követően itt a weboldalon.