在 NSO Group 的客户政府选定的个人名单上出现的人数众多的人物中,有一个名字特别具有讽刺意味。帕维尔·杜罗夫 (Pavel Durov) 是一位神秘的俄罗斯出生的科技亿万富翁,他因开发不可破解的消息应用程序而享有盛誉,他在名单上找到了自己的号码。 36 岁的杜罗夫是 Telegram 的创始人,Telegram 声称拥有超过 10 亿用户。 Telegram 提供端到端的加密消息,用户还可以设置“渠道”以快速向关注者传播信息。它在那些热衷于逃避政府窥探的人中很受欢迎,无论他们是罪犯、恐怖分子还是与专制政权作斗争的抗议者。近年来,杜罗夫公开抨击竞争对手的安全标准,尤其是他声称使用“危险”的 WhatsApp。相比之下,他将 Telegram 定位为一个勇敢的新贵,决心不惜一切代价保护用户的隐私。数据泄露是一份包含 50,000 多个电话号码的清单,自 2016 年以来,据信这些电话号码已被 NSO 集团的政府客户选为感兴趣的人,该集团销售监控软件。数据还包含选择数字或输入系统的时间和日期。位于巴黎的非营利新闻组织 Forbidden Stories 和国际特赦组织最初可以访问该列表,并与包括卫报在内的 16 家媒体组织共享访问权限。作为 Pegasus 项目的一部分,80 多名记者在几个月的时间里一起工作。该项目的技术合作伙伴大赦国际安全实验室进行了取证分析。该财团认为,数据表明 NSO 的政府客户在可能的监视之前确定的潜在目标。虽然数据表明了意图,但数据中是否存在数字并不能表明是否有人试图用 Pegasus(公司的签名监视工具)等间谍软件感染手机,或者是否有任何尝试成功。数据中存在极少数固定电话和美国电话号码,NSO 表示使用其工具“技术上不可能”访问这些数据,这表明 NSO 客户选择了一些目标,即使它们不会被 Pegasus 感染。然而,对名单上有数字的一小部分手机样本的法医检查发现,数据中某个数字的时间和日期与 Pegasus 活动的开始之间存在紧密的相关性——在某些情况下,只有几秒钟。国际特赦组织检查了 67 部疑似受到攻击的智能手机。其中,23 人被成功感染,14 人表现出企图渗透的迹象。对于剩下的 30 个,测试没有定论,在几个案例中是因为手机已被更换。其中 15 部手机是 Android 设备,没有一部显示成功感染的证据。但是,与 iPhone 不同的是,使用 Android 的手机不会记录大赦国际侦探工作所需的各种信息。三款 Android 手机显示出定位迹象,例如与 Pegasus 相关的 SMS 消息。国际特赦组织与多伦多大学专门研究 Pegasus 的研究小组 Citizen Lab 共享了四部 iPhone 的“备份副本”,后者证实它们显示出 Pegasus 感染的迹象。 Citizen Lab 还对 Amnesty 的法医方法进行了同行评审,发现它们是合理的。
虽然数据被组织成集群,表示单个 NSO 客户,但它没有说明哪个 NSO 客户负责选择任何给定的数字。 NSO 声称向 40 个国家/地区的 60 个客户出售其工具,但拒绝透露他们的身份。通过仔细检查泄露数据中个人客户的目标模式,媒体合作伙伴能够确定被认为负责选择目标的 10 个政府:阿塞拜疆、巴林、哈萨克斯坦、墨西哥、摩洛哥、卢旺达、沙特阿拉伯、匈牙利、印度,和阿拉伯联合酋长国。 Citizen Lab 还发现了所有 10 人都是 NSO 客户的证据。您可以在此处阅读 NSO Group 的完整声明。该公司一直表示无法访问其客户目标的数据。 NSO 通过其律师表示,该财团对哪些客户使用该公司的技术做出了“错误的假设”。它说 50,000 的数字被“夸大了”,该列表不可能是“政府使用 Pegasus 的目标”的数字列表。律师表示,NSO 有理由相信该财团访问的列表“不是政府使用 Pegasus 定位的数字列表,而是可能是 NSO 集团客户用于其他目的的更大数字列表的一部分。目的”。他们说这是一个数字列表,任何人都可以在开源系统上搜索。在进一步提问后,律师们表示,该财团的调查结果是“基于对来自可访问和公开的基本信息的泄露数据的误导性解释,例如 HLR 查找服务,这些信息与 Pegasus 的客户目标列表或任何其他NSO 产品......我们仍然没有看到这些列表与任何与 NSO 集团技术使用相关的内容有任何关联”。发布后,他们解释说,他们认为“目标”是被 Pegasus 成功或尝试(但失败)感染的手机,并重申 50,000 部手机的列表太大,无法代表“目标”。 ”的飞马。他们说,名单上出现一个数字这一事实绝不能表明它是否已被选择使用 Pegasus 进行监视。术语 HLR 或归属位置寄存器是指操作移动电话网络所必需的数据库。此类寄存器记录电话用户的网络及其大致位置,以及在路由呼叫和短信中常规使用的其他识别信息。电信和监控专家表示,有时可以在监控尝试的早期阶段使用 HLR 数据,以确定是否可以连接到电话。联盟了解 NSO 客户有能力通过 Pegasus 系统上的接口进行 HLR 查找查询。目前尚不清楚 Pegasus 运营商是否需要通过其界面进行 HRL 查找查询才能使用其软件;一位 NSO 消息人士强调,其客户可能有不同的原因——与 Pegasus 无关——通过 NSO 系统进行 HLR 查找。如果没有对 Durov 的手机进行法医检查,就无法确定是否有人试图在该设备上安装恶意软件。一位 NSO 消息人士表示 Durov 不是目标,这意味着消息来源否认他被选中使用 NSO 的间谍软件 Pegasus 进行监视。该公司坚持认为,名单上出现一个数字这一事实绝不能表明该数字是否被选择用于使用 Pegasus 进行监视。当直接被问及 Durov 的手机是否是 Pegasus 或与间谍软件相关的任何其他活动的目标时,NSO 发言人没有直接回答这个问题。他们说:“任何声称名单中的名字必然与飞马座目标或潜在目标有关的说法都是错误和虚假的。” NSO 的律师表示,其不回应某些指控的决定不应被视为对这些指控的确认。但是,作为 Pegasus 项目(一项国际合作)的一部分,《卫报》和其他媒体可以访问这份名单,据信该名单表明个人被 NSO 的政府客户确定为感兴趣的人。根据对其手机的法医分析,其中包括后来成为监视目标的人。
研究过 NSO 的 Pegasus 间谍软件工作原理的网络安全专家表示,该软件不会区分加密消息应用程序,并且可以访问受感染手机上的几乎所有内容。他们说 Telegram 以及 WhatsApp、Signal 和其他承诺端到端加密的消息传递应用程序,如果安装它们的设备被像 Pegasus 这样强大的黑客软件感染,实际上就会变得无能为力。杜罗夫的号码于 2018 年初出现在名单上,是多年来一直与他的个人 Telegram 帐户相关联的英国手机号码。厌恶宣传的杜罗夫和 Telegram 的新闻办公室都没有回应发送到他们 Telegram 帐户的置评请求。可能乐于查看杜罗夫手机内容的政府和情报部门的名单很长。杜罗夫于 2013 年离开俄罗斯,并与该国的安全部门发生了几次冲突。 Telegram 在推动白俄罗斯、香港和伊朗的抗议运动方面也发挥了关键作用。然而,对泄露名单的分析表明,阿拉伯联合酋长国(UAE)可能对杜罗夫感兴趣。 Pegasus 项目是对 NSO 集团及其客户的合作新闻调查。该公司向世界各地的政府出售监控技术。其旗舰产品是 Pegasus,它是针对 iPhone 和 Android 设备的间谍软件或间谍软件。一旦手机被感染,Pegasus 接线员就可以在用户不知情的情况下秘密提取聊天记录、照片、电子邮件和位置数据,或激活麦克风和摄像头。自 2016 年以来,总部位于巴黎的非营利性新闻组织 Forbidden Stories 和国际特赦组织获得了超过 50,000 个被 NSO 客户选为目标的电话号码。然后与卫报和其他 16 家新闻机构共享了对数据的访问权限,包括《华盛顿邮报》、《世界报》、《时代》和《南德意志报》。超过 80 名记者在调查中进行了几个月的合作,该调查由 Forbidden Stories 协调。
杜罗夫持有加勒比海国家圣基茨和尼维斯的护照,离开俄罗斯后一直在流浪。但在伦敦公司大厦提交的文件显示,2018 年 2 月,杜罗夫将他的官邸从芬兰改为阿联酋。时间恰逢杜罗夫的手机出现在泄露的数据中,这表明这可能是他的主人试图对他们有争议的新居民进行检查的情况。尽管杜罗夫公然蔑视民族国家的概念,但自从他搬家以来,他就与新祖国的统治者们相处融洽。今年2月,他会见了迪拜王储Sheikh Hamdan bin Mohammed bin Rashid al-Maktoum。根据迪拜当局的新闻稿,会后谢赫哈姆丹说:“我们继续欢迎优秀的人才和想法来到迪拜,迪拜为他们的发展提供了一个培育生态系统。”阿联酋和迪拜没有回应就有关杜罗夫的指控发表评论的请求。 《卫报》了解到迪拜是 NSO 的前客户,但在对滥用指控进行调查后终止了对 Pegasus 的访问。杜罗夫很少通过他的 Telegram 账户发表公开声明,通常会提供特殊的生活方式建议——总是一个人住,吃野生鱼类的“seagan”饮食,没有别的,就是两个例子——或者颂扬 Telegram 的优点。一些人怀疑 Telegram 自我描述为忠实的隐私倡导者,不会向任何政府低头,并指出 Telegram 聊天在默认情况下不是端到端加密的,只有该应用程序的“秘密聊天”功能。电子前沿基金会的 Eva Galperin 说:“我倾向于建议人们完全避免使用 Telegram,因为有一些替代方案可以一直进行端到端加密。” Galperin 说,值得注意的是,端到端加密仍然为绝大多数用户提供了重要的保护,其中许多人如果成为监视目标,很可能会成为比 Pegasus 更先进的监视形式的目标.在白俄罗斯,Telegram 消息和渠道在过去一年中一直在推动革命情绪,当局不得不采取粗暴的策略来访问活动家的电话——要求被捕的抗议者解锁他们的手机,并在 5 月迫使瑞安航空公司的飞机过境白俄罗斯领空与主要抗议 Telegram 频道的管理员一起降落在明斯克,他在那里被捕。
“根据我们掌握的所有信息,如果无法物理访问该设备,白俄罗斯当局无法进入我们的 Telegram 消息,”另一个白俄罗斯抗议频道的管理员通过 Telegram 语音通话说道。但是,当有关当局可以访问 Pegasus 时,这个等式会发生巨大变化。白俄罗斯并不知道是 NSO 的客户之一,也没有任何迹象表明它是。但在人权活动家和记者经常使用加密消息应用程序的国家,其他几个专制政权已经收购了 Pegasus。此外,本周 Pegasus 论文联盟的披露表明,在许多国家,范围广泛的人,有时甚至是他们的家人或同事,都可能成为间谍软件的目标。经营数据保护公司 Acronis 的新加坡科技企业家 Serguei Beloussov 表示,像 Pegasus 这样的软件很难推荐特定的消息服务比其他的更好。 “保护单个应用程序是不可能的;主要的漏洞是你的设备,”他说。 “唯一完全安全的设备是关闭的。”