Pegasus spyware – สปายแวร์ เพกาซัส มันคืออะไร? ป้องกันอย่างไร? และมีวิธีการตรวจสอบ หรือ เช็ค เครื่องสมาร์ทโฟนของเรา ทั้งระบบปฏิบัติการ Android – แอนดรอยด์ และ iOS – ไอโอเอส (Apple iPhone iPad) ได้อย่างไรบ้าง?

สืบเนื่องจากบรรยากาศการเมืองของไทยในช่วงสัปดาห์ที่ผ่านมา ได้มีการพูดถึงสปายแวร์ตัวหนึ่งอย่างกว้างขวาง นั่นคือ Pegasus หรือ เพกาซัส กล่าวคือ มีข้อกล่าวหาว่ารัฐบาลไปซื้อสปายแวร์ตัวนี้มาเพื่อสอดส่องความเคลื่อนไหวของนักการเมือง นักเคลื่อนไหว และนักข่าว ที่อาจเป็นปรปักษ์กับฝั่งรัฐบาล ผ่านเครื่องสมาร์ทโฟนของบุคคลเหล่านั้น ซึ่งเขารู้ได้เพราะระบบการตรวจสอบของ Apple สามารถแจ้งเตือนผู้ใช้ได้ในระดับหนึ่ง แล้วมีการแจ้งเตือนผ่านอีเมล และมีการตรวจสอบซ้ำโดย Citizen Lab ของประเทศแคนนาดา ผ่านเครือข่ายในไทยอย่าง iLaw

 

Pegasus spyware – สปายแวร์ เพกาซัส มันคืออะไร?

Pegasus spyware เป็นสปายแวร์ที่พัฒนาโดย NSO Group ในประเทศอิสราเอล [อ้างอิง 1] ซึ่งสามารถเข้าถึงทุกอย่างบนอุปกรณ์ของเราได้ เช็คอีเมล SMS นอกจากนี้ยังสามารถเปิดใช้งานฟังก์ชันต่าง ๆ เช่น กล้อง และไมโครโฟน ตลอดจนติดตามตำแหน่ง GPS ของเราได้แบบเรียลไทม์ โดยไม่ขออนุญาตเราเสียก่อน ซึ่งผู้พัฒนาอ้างว่าตนไม่ได้ทำผิดกฎหมาย เพราะตนขายสปายแวร์ให้กับรัฐบาล ใช้ในการสืบสวนสอบสวนการทำผิดกฎหมายภายในประเทศเท่านั้น

ความน่ากลัวของ Pegasus spyware คือ มันเป็นการโจมตีช่องโหว่แบบ “zero-click” หรือก็คือ เครื่องเราสามารถติดสปายแวร์ตัวนี้ได้โดยไม่ต้องคลิกอะไรเลย ไม่เหมือนกับกับสปายแวร์ทั่วไปที่จะมีลิงก์มาหลอกให้เราคลิก อันนั้นจะเป็นการโจมตีช่องโหว่แบบ “one-click” ซึ่งความน่ากลัวต่างกันลิบลับเลย Gavin de Becker ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่า Pegasus ต้องการเพียงหมายเลขโทรศัพท์เท่านั้นในการเข้าถึงอุปกรณ์ของเราและเข้าควบคุมโดยที่เราไม่รู้ตัว โดยปกติช่องโหว่จะถูกโจมตีผ่าน iMessage หรือ WhatsApp

Appdisqus อยากให้ผู้อ่านเบาใจเอาไว้อย่างหนึ่งว่า โอกาสที่อุปกรณ์ของเราจะติด Pegasus นั้นมีน้อยมาก อย่างไรก็ตาม แอมเนสตี้ อินเตอร์เนชั่นแนล กล่าวว่า มีการตรวจพบหมายเลขโทรศัพท์ที่อาจมีเป้าหมายในการสอดแนมประมาณ 50,000 หมายเลขทั่วโลก ส่วนใหญ่เป็น นักข่าว นักปกป้องสิทธิมนุษยชน นักวิชาการ ทนายความ และนักการเมือง สำหรับประเทศไทยตอนนี้มีรายงานจาก Citizen Lab  ระบุว่ามีผู้ตกเป็นเป้าหมาย(ที่ตรวจสอบได้) แล้ว 30 คน [อ้างอิง 2]

วิธีการเช็ค – ตรวจสอบ ว่า iPhone iPad ติดสปายแวร์ Pegasus หรือยัง?

ความจริงแล้ว Apple ได้พัฒนาแพตช์ความปลอดภัยของ iPhone ใน iOS 14.8 ตั้งแต่เดือนกันยายน 2564 ซึ่งได้ปิดช่องโหว่ที่รายงานว่าถูกโจมตีโดย Pegasus พร้อมมีการแจ้งเตือนผู้ที่ Apple ตรวจสอบว่าเป็นเป้าหมายในการโจมตีอย่างที่เป็นข่าวในปัจจุบัน [อ้างอิง 3] แต่อย่างไรก็ตาม สปายแวร์ก็มีการพัฒนาได้เช่นเดียวกัน เราจึงต้องเรียนรู้การเช็ค ตรวจสอบ เครื่อง iPhone ด้วยตัวเอง เอาไว้ด้วย แต่ก่อนอื่นเราก็ต้องอัพเดตระบบปฏิบัติการให้เป็นเวอร์ชั่นปัจจุบันด้วยนะครับ

1. เป็นวิธีที่ง่ายที่สุด คือ การเช็คการแจ้งเตือนจาก Apple ที่จะส่งมาทางอีเมล และ iMessages จาก [email protected] (แต่ต้องระมัดระวังกันด้วยนะครับ ไม่แน่แก๊งคอลเซ็นเตอร์เจ้าตลาดของไทยอาจเนียนส่งการแจ้งเตือนปลอมมาหาเราได้ ดังนั้นเช็คให้แน่ใจว่าส่งมาจาก @apple.com จริง ๆ ) หากใจร้อนรอไม่ไหว สามารถเข้าไปตรวจสอบการแจ้งเตือนได้ที่ applied.apple.com วิธีการและหน้าตาการแจ้งเตือนจาก Apple แสดงไว้ดังภาพ [อ้างอิง 4]

2. ดาวน์โหลดโปรแกรม iMazing สำหรับ Mac และ Windows PC ทั่วไป ได้ฟรี! ที่ >> คลิก! <<  เมื่อดาวน์โหลดเสร็จเรียบร้อย ให้ดำเนินการติดตั้ง และเปิดโปรแกรมขึ้นมา จากนั้นเชื่อมต่อ iPhone หรือ iPad กับคอมพิวเตอร์ของเรา แล้วกลับมาที่หน้าต่างโปรแกรม iMazing ด้านขวามือ ให้เราเลื่อนหาคำว่า Detect Spyware แล้วคลิกได้เลย จากนั้นหน้าต่างใหม่จะเปิดออกมาแนะนำการทำงานของเครื่องมือ ที่จะสำรองข้อมูลบนคอมพิวเตอร์ (ต้องแน่ใจว่าคอมพิวเตอร์มีเนื้อที่เหลือพอ?) ซึ่งระบบจะสแกนหาสปายแวร์จากข้อมูลที่สำรองไว้นี่หละ [อ้างอิง 5]

ก่อนจะเริ่มสแกนหาสปายแวร์มีขั้นตอนการตั้งค่าอีกเล็กน้อย ซึ่งแนะนำว่าให้เลือกการตั้งค่าเริ่มต้นได้เลยไม่ต้องไปปรับแต่งการตั้งค่า คลิกยอมรับไปเรื่อย ๆ จนสุดท้ายจะเป็นการคลิกปุ่ม Start Analysis เท่านี้ก็ระบบก็จะเริ่มการสำรองข้อมูลประมาณ 30 นาที และสแกนอีกประมาณ 5 นาที (ก่อนเริ่มสแกนอาจมีขั้นตอนให้ใส่ Apple ID เพื่ออนุญาตอีกรอบ) ซึ่งตลอดกระบวนการเราต้องเสียบ iPhone iPad เอาไว้ตลอดเวลา

เมื่อ iMazing เริ่มทำงานมันจะวิเคราะห์ข้อมูลที่สำรองไว้ในเครื่อง ระหว่างการทำงานจะแสดงสถานะระบุว่ากำลังวิเคราะห์แอปอะไร หรือไฟล์อะไรอยู่ โดยมันจะเริ่มวิเคราะห์ iMessage ซึ่งมักเป็นเป้าหมายการโจมตีเป็นอันดับแรก ต่อไปก็วิเคราะห์แอปที่ต้องใช้ฐานข้อมูล ที่อยู่อีเมล ลิงก์ และไฟล์ที่ต้องสงสัยต่าง ๆ เมื่อโปรแกรมวิเคราะห์เสร็จสิ้น ก็จะขึ้นหน้าต่างรายงานผลดังภาพด้านล่างนี้ ว่ามีการตรวจพบสปายแวร์หรือไม่? กดปุ่ม OK เพื่อปิด หรือ สามารถเปิดดูรายงานการวิเคราะห์ได้

หาก iMazing มีรายงานการตรวจพบสปายแวร์จะทำอย่างไร?

เราไม่ต้องตื่นตระหนกจนเกินไป การวิเคราะห์อาจไม่ตรงตามความเป็นจริงเพราะมันมีข้อผิดพลาดเกิดขึ้นได้ ให้เรากดปุ่ม Reveal Report เพื่อส่งต่อผลการวิเคราะห์ให้ทีมสนับสนุนของ Apple มาตรวจสอบอีกรอบ แต่หากเราหรือคนในครอบครัวอยู่ในกลุ่มเป้าหมายของการโจมตี ตัวอย่างเช่น นักการเมือง นักเคลื่อนไหว นักข่าว นักกฎหมาย และอื่น ๆ ที่เกี่ยวข้อง แนะนำให้ถอดซิมการ์ด และปิดเครื่อง iPhone iPad ของเราทั้งหมดเลยครับ

 

วิธีการเช็ค – ตรวจสอบ ว่า Android ติดสปายแวร์ Pegasus หรือยัง?

สำหรับวิธีการตรวจหาสปายแวร์ Pegasus บนระบบปฏิบัติการ Android ที่จะกล่าวถึงต่อไปนี้ สามารถใช้ในการตรวจหาบน iPone iPad ได้ด้วย [อ้างอิง 6] ถือซะว่าเป็นวิธีการค้นหา สปายแวร์ Pegasus แบบที่ 3 ของ iOS ไปด้วยเลยนะครับ ซึ่งวิธีการคือ เราต้องใช้ชุดเครื่องมือ Mobile Verification Toolkit (MVT) ที่หากผู้ใช้มีความรู้เกี่ยวกับการเขียนโค้ดจะมีประโยชน์พอสมควร โดยสามารถดาวน์โหลดชุดเครื่องมือได้ที่ GitHub link  แล้วดำเนินการตามขั้นตอนต่อไปนี้ >> ขั้นตอนการใช้งาน MVT <<  

การทำงานของชุดเครื่องมือบนระบบปฏิบัติการ Android จะต่างจาก iOS เล็กน้อย กล่าวคือ มันจะตรวจสอบ ข้อความและลิงก์ที่ถูกเรียกใช้งานโดย NSO Group รวมทั้งตรวจสอบไฟล์ APK และแอปพลิเคชันที่ต้องสงสัยด้วย

 

หากมีรายงานการตรวจพบสปายแวร์จะทำอย่างไร?

เหมือนที่แนะนำไปก่อนหน้า เราไม่ต้องตื่นตระหนกจนเกินไป การวิเคราะห์อาจไม่ตรงตามความเป็นจริงเพราะมันมีข้อผิดพลาดเกิดขึ้นได้ แต่หากไม่สบายใจ แนะนำให้ถอดซิมการ์ด และปิดอุปกรณ์ของเราทั้งหมดเลยครับ อาจเปลี่ยนเบอร์เปลี่ยนเครื่องไปเลย หรืออีกอย่างที่แนะนำคือ ปรึกษาพร้อมส่งรายงานให้ Security Lab ของ แอมเนสตี้ อินเตอร์เนชั่นแนล ก่อนส่งอาจปรึกษา Amnesty International Thailand ก่อนก็ได้ครับ

 

วิธีป้องกันสปายแวร์ Pegasus และสปายแวร์อื่น ๆ

การจะป้องกันสปายแวร์ Pegasus อาจจะยากแต่ก็มีเรื่องที่เราทำได้เช่นกัน โดยดำเนินการต่อไปนี้

1. อัพเดตระบบปฏิบัติการบนสมาร์ทโฟนอยู่เสมอ ไม่มีใครจะเทพในเกมนี้เท่า Apple และ Google แล้ว ดังนั้นเราควรมีการอัพเดตระบบปฏิบัติการอยู่เสมอ แม้เราจะเห็นว่าไม่มีฟีเจอร์ใหม่อะไรที่น่าสนใจ แต่มันอาจเต็มไปด้วยการปรับปรุงระบบความปลอดภัยที่อยู่เบื้องหลังที่เราไม่สามารถมองเห็นได้
2. รีสตาร์ทหรือรีบูทเครื่องทุกวัน ตามผลการวิจัยของ แอมเนสตี้ อินเตอร์เนชั่นแนล และ Citizen Lab [อ้างอิง 7] ระบุว่า สปายแวร์ Pegasus จะตายหรือเกือบตายทุกครั้งที่มีการรีสตาร์ทเครื่อง ดังนั้นการโจมตีจะต้องเริ่มต้นใหม่หลังจากรีสตาร์ทเครื่อง ซึ่งแม้จะไม่ได้ขจัดปัญหาได้แบบถาวร ก็ถือว่าช่วยป้องกันได้ในระดับหนึ่ง นอกจากนี้หากเรารีเซตค่าโรงงานนาน ๆ ที ก็ถือว่าเป็นความคิดที่ดีไม่น้อย
3. อย่าคลิกลิงก์น่าสงสัยต่าง ๆ ที่ส่งมาทั้งในอีเมลและข้อความ ใช่ครับ! สปายแวร์ Pegasus เป็น “zero-click” แต่อย่าลืมว่าในโลกนี้ยังมีสปายแวร์ “one-click” อีกหลายตัวที่จ้องเล่นงานเราอยู่ ที่อยากเข้าถึงข้อมูลเหมือนกับที่ Pegasus ทำได้ ดังนั้นระมัดระวังไว้เป็นดีที่สุด
4. ใช้ VPN วิธีการนี้ค่อนข้างเป็นเรื่องทางเทคนิค แต่ VPN สามารถช่วยป้องกันการโจมตีแบบ man-in-the-middle (MITM) ได้ และเราควรเลือก VPN อย่างระมัดระวังและไม่แนะนำ VPN ฟรี
5. ตรวจหาสปายแวร์อย่างสม่ำเสมอ ตรวจหาสปายแวร์ตามวิธีต่าง ๆ ที่แนะนำในบทความนี้อย่างสม่ำเสมอ แม้สแกนวันนี้ไม่เจอ ก็ไม่ได้หมายความว่าพรุ่งนี้จะไม่เจอ และนักพัฒนาสปายแวร์เขาก็ไม่หยุดนิ่งมีการต่อสู้กันในเกมนี้อยู่ตลอด ดังนั้นเราก็ต้องระมัดระวังอยู่เสมอเช่นเดียวกัน

 

เอกสารอ้างอิง

[อ้างอิง 1] https://fcpablog.com/2022/05/12/check-your-devices-for-pegasus-spyware/

[อ้างอิง 2] https://citizenlab.ca/2022/07/geckospy-pegasus-spyware-used-against-thailands-pro-democracy-movement/

[อ้างอิง 3] https://plus.thairath.co.th/topic/speak/101820

[อ้างอิง 4] https://twitter.com/littletiger31/status/1550061247663521793

[อ้างอิง 5] https://www.cnet.com/tech/mobile/apple-sues-pegasus-for-spyware-maker-how-to-check-if-your-iphone-has-nso-group-software/

[อ้างอิง 6] https://www.indiatimes.com/technology/news/how-to-detect-pegasus-spyware-on-android-iphone-545353.html

[อ้างอิง 7] https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/

อ้างอิงภาพปก: https://thethaiger.com/hot-news/crime/thailand-admits-using-pegasus-to-spy-on-democracy-activists