WikiLeaks: Smartphones, υπολογιστές και τηλεοράσεις στο στόχαστρο της CIA
08/03/2017 14:58
ΔΕΝ ΥΠΑΡΧΟΥΝ ΣΧΟΛΙΑ
ΔΗΜΙΟΥΡΓΙΑ ΣΧΟΛΙΟΥ

WikiLeaks: Smartphones, υπολογιστές και τηλεοράσεις στο στόχαστρο της CIA

Ο «θυσαυρός» των πληροφοριών σχετικά με τις παρακολουθήσεις της CIA που παρουσίασε η οργάνωση WikiLeaks του Τζούλιαν Ασάνζ, αποκαλύπτει ότι ο οργανισμός διατηρεί την ικανότητα να χακάρει καταναλωτικές συσκευές, εγείροντας πολλά ερωτήματα για τους χρήστες όσο και για τις εταιρείες τεχνολογίας. Καθημερινές συσκευές, όπως smartphones που «τρέχουν» σε λειτουργικό iOS και Android, Windows και Mac υπολογιστές, ακόμη και έξυπνες τηλεοράσεις από κατασκευαστές όπως η Samsung, βρίσκονται στο στόχαστρο της CIA.

Η δημοσίευση των νέων στοιχείων, που ονομάστηκε "Vault 7" από το Wikileaks, δείχνει ότι ο οργανισμός έχει την τεχνική ικανότητα να χακάρει όσες περισσότερες δημοφιλείς συσκευές μπορεί. Τα τρωτά σημεία που περιγράφονται στα χιλιάδες δημοσιευμένα έγγραφα έρχονται από κάθε πλευρά: κάποια, όπως μια επίθεση που μπορεί να χρησιμοποιηθεί για να αναλάβει τον έλεγχο των παλαιότερων iPhones, αποκαλύφθηκε από ανεξάρτητους ερευνητές ασφαλείας και δημοσιεύθηκε για να ενθαρρύνει τις επιχειρήσεις της τεχνολογίας να διορθώσουν τις αδυναμίες. Άλλα, όπως η δυνατότητα να παίρνει τον έλεγχο των τηλεφώνων που λειτουργούν με Android μέσω παλαιότερων εκδόσεων του προγράμματος περιήγησης Chrome, προφανώς αποκαλύφθηκε από τον ίδιο την ίδια την υπηρεσία πληροφοριών, είτε από οργανισμούς-εταίρους, όπως ο GCHQ.

Πολλά από τα εργαλεία που περιγράφονται στη διαρροή, η οποία φαίνεται να χρονολογείται από τα μέσα του 2016, έχουν έκτοτε επιδιορθωθεί από τους πωλητές, που σημαίνει ότι ένας χρήστης με μια συσκευή πλήρως ενημερωμένη θα είναι ασφαλή από αυτές τις κυβερνοεπιθέσεις. Αλλά κάποιες, όπως οι επιθέσεις σε έκδοση 9.0 του iOS, το λειτουργικό σύστημα για τα iPhones και iPads, φαίνεται να μην έχουν διορθωθεί τη στιγμή που αναφέρονται τα έγγραφα.

Εάν η CIA συνέχισε να ανακαλύπτει και να αποθηκεύει τα τρωτά σημεία (κάτι που η κυβέρνηση των ΗΠΑ έχει αρνηθεί ότι κάνει, επιμένοντας ότι αναφέρει τέτοια ελαττώματα λογισμικού στους κατασκευαστές), ο οργανισμός φαίνεται πιθανό να έχει παρόμοια εργαλεία για χάκινγκ και σήμερα, κάτι που τον καθιστά ικανό να «εισβάλλει» ακόμα και σε πλήρως ενημερωμένες συσκευές. Οι σταθερές αδυναμίες που περιγράφονται λεπτομερώς στο Vault 7 περιλαμβάνουν πολλά από τα «exploits» (προγράμματα εκμετάλλευσης ευπάθειας) του iOS, όπως το «Earth/Eve», που προφανώς αγοράστηκε από την NSA από έναν ανώνυμο ερευνητή, και το μοιράστηκε η CIA με την GCHQ. Το «Earth/Eve» εκμεταλλεύεται μόνο εργασίες για iPhones και iPads που εκτελούν εκδόσεις iOS 7 και 8, και διορθώθηκε όταν κυκλοφόρησε το iOS 9 τον Σεπτέμβριο του 2015.

Άλλα exploits που περιγράφονται στις αποκαλύψεις δεν είχαν καθοριστεί από τη στιγμή της διαρροής. Αυτά τα τρωτά σημεία, που είναι γνωστά ως «zero days» (ονομάστηκαν έτσι από το ποσό του χρόνου που οι πωλητές έπρεπε να τα διορθώσουν πριν να χρησιμοποιηθούν), μπορεί να έχουν έκτοτε διορθωθεί με τις ενημερώσεις λογισμικού, αλλά πιθανόν να έχουν με αντικατασταθεί με άλλα «zero days».

Σε ένα δελτίο τύπου, το WikiLeaks αναφέρει ότι η CIA χρησιμοποιεί τις τεχνικές "για να παρακάμψει την κρυπτογράφηση" πολλών δημοφιλών κρυπτογραφημένων συνομιλιών σε εφαρμογές όπως το WhatsApp και το Signal. Οι ίδιες οι εφαρμογές, ωστόσο, δεν έχουν παραβιαστεί. Ερευνητές ασφάλειας επισημαίνουν ότι το λεγόμενο «τελικό σημείο των επιθέσεων» δεν λειτουργεί νικώντας άμεσα την κρυπτογράφηση, αλλά περιμένοντας μέχρι το περιεχόμενο να αποκρυπτογραφείται για να εμφανίζεται στην οθόνη. Άλλα «zero days» που περιγράφονται στην αποκάλυψη, η οποία ανέρχεται σε περίπου ένα gigabyte, περιλαμβάνουν μια εφαρμογή που επιτρέπει στον οργανισμό να μετατρέψει το σήμα μιας δημοφιλούς μάρκας έξυπνης τηλεόρασης σε έναν απομακρυσμένο κοριό, κατασκοπεύοντας τον χρήστη. Το κακόβουλο λογισμικό, που ονομάστηκε «Weeping Angel» από έναν κακοποιό στην τηλεοπτική σειρά Doctor Who του BBC, προφανώς αναπτύχθηκε σε συνεργασία με τη βρετανική υπηρεσία πληροφοριών MI5 και θα μπορούσε να χρησιμοποιηθεί για να αναλάβει τον έλεγχο των τηλεοράσεων της κορεατικής εταιρείας Samsung και να ακούνε τις συνομιλίες, ενώ φαίνεται ότι είναι απενεργοποιημένες.

Η ευπάθεια με τις τηλεοράσεις Samsung δεν ήταν δημόσια γνωστή μέχρι την δημοσιοποίηση των εγγράφων του Wikileaks. Δεν είναι γνωστό εάν το zero-day εξακολουθεί να λειτουργεί ή αν η «τρύπα» έκτοτε έχει κλείσει από μια ενημέρωση λογισμικού. Το «Weeping Angel» χρονολογείται από το 2014, αλλά ένα χρόνο αργότερα οι Smart τηλεοράσεις της Samsung είχαν εμπλακεί σε ένα σκάνδαλο κατασκοπείας: η πολιτική απορρήτου της εταιρείας προειδοποίησε τους ιδιοκτήτες ότι δεν θα πρέπει να συζητούν ευαίσθητα θέματα στο σαλόνι τους, σε περίπτωση που οι πληροφορίες καταγράφονται από την τηλεόραση και αποστέλλονται στο συνεργάτη αναγνώρισης φωνής της εταιρείας.

theguardian.com