防御像 Pegasus 这样的间谍软件

首席安全官 PGP ID：0xB9EF770D6EFE360F 指纹：0DFE 2A03 7FEF B6BF C56F73C5 B9EF 770D 6EFE 360F Librem Social 这是安全新闻繁忙的一周，但也许是本周最重要的安全和隐私故事）（如果不是的话）是关于 NSO Group 的 Pegasus 间谍软件如何被许多政府使用，通过向他们的 iPhone 发送不需要用户交互的隐形、无声攻击来感染和监视记者和活动家甚至国家元首。这种攻击甚至在新的、完全打补丁的手机上也有效，一旦手机受到攻击，攻击者就可以完全远程控制手机，包括访问文件系统、位置、麦克风和摄像头。一般而言，间谍软件特别可怕的地方是受害者没有迹象表明他们已经受到威胁，Pegasus 也是如此。由于 iPhone 被最终用户锁定的程度，检测 Pegasus 尤其需要专业的取证技术。这让许多处于危险中的 iPhone 用户想知道他们是否也受到了威胁，如果是，他们会怎么做？信息安全行业很容易被救护车追赶。在每次重大安全事件发生后，您的收件箱都会收到来自供应商声称他们可以阻止它的电子邮件。因此，我通常会在发生安全事件后等待数周甚至数月来发布我的想法，这样我就可以避免出现救护车追逐的情况。但是，我们有客户询问我们有关此事件以及我们的硬件是否易受攻击的问题，因此与其撰写大量个人回复，我认为最好继续发布一些有关我们如何总体上防御间谍软件的信息。即使 Pegasus 不适用于我们的产品，我们的防御也会适用于它以及移植到我们平台的任何其他间谍软件。大多数供应商都希望将所有安全性外包给他们，因此您变得完全依赖并锁定他们的安全性（以及其他一切）。以安全为名，电话供应商已经可以远程控制其客户的电话，有些还使用此功能来监视他们的客户。当攻击者发现绕过这些防御的新方法时，供应商会通过进一步锁定设备来响应，不仅是攻击者，而且是用户。供应商认为他们必须保护用户免受自己的伤害，因此虽然人们可能认为他们的手机位于精英社区，但现实更接近数字疗养院。当某些事情不可避免地出现问题时（比如 Pegasus），用户除了等待供应商保存它们之外别无选择。这是一种全有或全无的安全性，用户试图对其硬件进行更多控制——如果供应商允许的话——意味着几乎完全禁用供应商安全性。

我们的防御在行业中是独一无二的，因为我们设计产品的目的是让客户控制自己的安全。这种对用户控制的关注意味着我们拒绝了行业采用的许多安全措施，这些措施赋予供应商控制权，并要么调整这些措施，要么用其他实现类似安全级别的措施替换它们，同时让用户持有密钥。我们认为正确的设计平衡了安全、隐私和自由——我们的三足凳子——因为我们相信你必须同时拥有这三者才能拥有任何东西。这种以客户为中心的设计最明显的形式是我们手机和笔记本电脑中的硬件终止开关。这样，即使间谍软件越过了我们的其他防御，用户也可以控制最后一道防线，并且可以在他们想确定自己拥有隐私时物理禁用麦克风、摄像头、WiFi 和蜂窝调制解调器。由于我们设计 Librem 5 的方式，蜂窝调制解调器独立于主 CPU，因此不必在手机开机时一直开机。间谍软件跟踪人员的一种方式是通过他们连接的蜂窝塔。使用“飞行模式”在软件中禁用调制解调器是间谍软件可能能够阻止的东西，但是通过能够使用终止开关关闭调制解调器，您肯定知道当您需要额外的隐私时无法跟踪它。当然，这不仅仅是针对间谍、记者和活动家的安全措施。由于控制配偶或愤怒的前任，普通人一直是间谍软件的受害者。即使您没有面临直接威胁，硬件终止开关也非常快速且易于使用，以至于许多人最终默认禁用麦克风和摄像头，仅在需要使用时才打开它们。这种方法在我们的笔记本电脑中更为常见（间谍软件也是一种威胁），因为普通人仅在进行视频通话时才使用网络摄像头和麦克风。在我们的 Librem 5 手机上，我们更进一步，因为手机的传感器比普通电脑多得多。通过禁用所有三个硬件终止开关，您可以进入“锁定模式”，从而禁用设备上的所有其他主动和被动传感器，例如 GPS 和加速度计。这有助于防范间谍软件，即使用户在软件中禁用了定位服务，它们也可能会记录 GPS 坐标。我们还设计了 Librem 5，以便 WiFi 和蜂窝调制解调器以及电池可拆卸，因此即使您不信任我们的硬件终止开关，您也可以选择。带有间谍软件的手机面临的另一个问题是整个平台旨在收集用户数据。安全最终集中在如何使供应商能够收集数据而不让其他人窥探。这与当前关于加密后门的争论没有太大区别。不存在只有“好人”才能访问的后门，数据收集也是如此。一些供应商意识到隐私是一种营销优势，因此他们现在会在其他应用程序试图窥探您时提醒您，但他们的工具方便地从不提醒您他们自己的窥探。即使您明确选择退出，数据收集仍在继续。根据一篇研究论文：

我们发现，即使在最低配置且手机处于空闲状态时，iOS 和 Google Android 平均每 4.5 分钟就会与 Apple/Google 共享数据。手机IMEI、硬件序列号、SIM序列号和IMSI、手机号码等与苹果、谷歌共享。尽管用户明确选择退出，但 iOS 和 Google Android 都传输遥测数据。保护用户数据的最佳方法首先不是收集它，这是我们对软件采取的基本方法。我们没有动力收集用户数据，事实上这与我们的社会目的背道而驰。这使我们能够使数据收集变得更加困难，不仅对攻击者来说，而且对我们来说也是如此。由于我们的产品运行自由软件，因此您也不必相信我们的话——您可以审核我们的所有声明并了解我们在幕后所做的事情。我的帖子 Snitching on Phones that Snitch on You 描述了我们保护用户免遭数据收集的许多方法，并包括一个关于如何使用 OpenSnitch 工具监控离开您设备的所有流量的部分，以便您可以更轻松地检测间谍软件何时试图打电话回家。大多数手机的安全措施更侧重于将客户拒之门外，将竞争对手拒之门外。将攻击者拒之门外是一种方便的副作用，有助于进行良好的营销。 Pegasus 说明，即使有才华横溢、资金充足的安全工程师，将所有安全、信任和控制外包给供应商也有其局限性。最后，针对间谍软件的最佳防御是让用户控制硬件，因此他们可以关闭它，并控制软件以便他们可以检查它。你的手机就是你的城堡，你应该被允许保护它。 Purism Librem 产品的当前产品和运输图表