Большинство обладателей смартфонов никогда не задумываются, что их персональные данные могут украсть. Однако, в реальности эта угроза действительно существует и очередной доклад напоминает об этом. Метод авторизации, который применяется почти на всех крупных облачных хранилищах, можно обойти при помощи инструмента производства израильской компании.

Ранее в этом году появилась новость, что уязвимость в мессенджере WhatsApp позволяет внедрить на смартфоны инструмент шпионажа. Делается это при помощи звонка, на который даже не нужно отвечать, и никаких следов после этого не остаётся. Программное обеспечение было разработано израильской фирмой NSO Group. Среди прочего она известна приложением-шпионом Pegasus, которое продавала различным правительствам и агентствам.

Статья в Financial Times рассказывает о новых разработках данной компании. Если раньше она могла украсть данные из хранилища смартфонов, то теперь крадёт данные и из аккаунтов пользователей в сервисах Apple, Microsoft, Facebook, Amazon и Google.

Шпионский инструмент был значительно обновлён и может получать доступ к истории местоположения, архивным сообщениям, другим сетевым данным. Точный метод доступа неизвестен, но предполагается, что когда программа попадает на смартфон, она способна клонировать ключи авторизации сервисов вроде Facebook Messenger и Google Drive. Выполняется синхронизация этих ключей с сервером наблюдения, после чего они могут применяться, чтобы выдавать себя за смартфон, с которого были похищены.

Недавно была обнаружена уязвимость в стандарте Bluetooth. Уже выпущено обновление для её закрытия, а вот другая уязвимость используется в последней версии Pegasus.

NSO Group отрицает обвинения в широком распространении инструментов слежки, но не отрицает возможность получать доступ к данным в облачных хранилищах. Apple, Microsoft, Facebook, Amazon и Google выпустили заявления, в которых говорится, что им неизвестно о случаях несанкционированного доступа к их сервисам, и что они уделяют безопасности данных большое внимание. Apple признала существование инструментов, способных получить доступ к небольшому количеству устройств, но не верит в возможность масштабных взломов. Волноваться скорее следует Microsoft, которая получает значительную часть своих доходов от облачных сервисов.

К счастью, защита от этого инструмента слежки очень простая: достаточно сменить пароль на доступ к облачным сервисам.