Utblick

”Omöjligt att skydda sig” mot spionprogrammet Pegasus

Spionprogrammet Pegasus kan ha använts mot så många som 50 000 journalister, människorättsaktivister och politiker. Det visar ett internationellt gräv genomfört av OCCRP och en rad nyhetsredaktioner som publicerades i veckan. Och enligt Erik Halkjaer på Reportrar utan gränser är det i stort sett omöjligt att skydda sig mot de nyaste spionprogrammen. (Uppdaterad)

Daniel Wiklander

Text

Avslöjandet av den omfattande övervakningen av tiotusentals journalister, människorättsaktivister och politiker slog ned som en bomb tidigare i veckan. Ett antal länder, många av dem diktaturer eller så kallade ”illiberala demokratier”, har köpt in avancerad spionteknologi från det israeliska företaget NSO Group. Programmet som kallas Pegasus ger möjlighet för spionen att inhämta information via offrets mobiltelefon på alla vis som går: Via kameran, mikrofonen och via all text.

De första versionerna av Pegasus krävde likt andra spionprogram att offret luras att klicka på en länk i exempelvis ett mejl eller ett sms. Numera räcker det att skicka ett meddelande till telefonen – det behöver inte ens öppnas.

Spionprogrammet Pegasus har varit känt ett tag. Organisationen Forbidden Stories, som även är inblandad i det nya avslöjandet, kunde redan för ett år sedan i samarbete med flera nyhetsredaktioner avslöja det första kända fallet där en journalist, den marockanske grävande reportern Omar Radi, fått telefonen infekterad av Pegasus utan att ha klickat på någon länk.

NSO:s monter vid europeiska poliskongressen i januari 2020.

Det allra första kända fallet där Pegasus använts mot en journalist konstaterades redan 2016.

Erik Halkjaer, ordförande för svenska Reportrar utan gränser, kallar de nya avslöjandena för en gigantisk skandal.

– Det är ingen nyhet att appen finns och att journalister har blivit avlyssnade och övervakade, säger han till Scoop. Nyheten är att det är så fruktansvärt stort. Det är ett enormt problem för demokratin, privatlivet och ur journalistisk synpunkt även källskyddet. Det försvinner ju helt. Människor dödas och fängslas på grund av det här.

Ett känt exempel är den saudiske journalisten och regimkritikern Jamal Khashoggi, som hösten 2018 mördades inne på Saudiarabiens konsulat i Istanbul. En av hans nära bekanta, en saudisk landsflyktig i Kanada, fick sin telefon infekterad med Pegasus någon gång före mordet, berättar Erik Halkjaer.

– Det innebar att en tredje part kunde se vad han och Khashoggi konverserade om innan Khashoggi mördades.

”Det enda sättet att skydda sig är att inte använda telefonen.”

Erik Halkjaer

Även kollegor till den mexikanske journalisten Javier Valdez Cárdenas, mördad 2017, upptäckte vid en kontroll att de fått meddelanden till sina telefoner som innehöll programkod för Pegasus.
Men på den tiden behövde man aktivt klicka på en länk för att programmet skulle aktiveras.

– Så de lyckades stoppa det i tid, säger Erik Halkjaer.

Den marockanske journalisten Omar Radi dömdes nyligen till sex års fängelse på vad som anses vara falska anklagelser om bland annat våldtäkt. 

– Det är fullständigt rättsvidrigt, det han har råkat ut för. Reportrar utan gränser vill att han försätts på fri fot omedelbart, säger Erik Halkjaer.

– Människor dödas och fängslas på grund av det här, säger Erik Halkjaer på Reportrar utan gränser.

Förutom till Marocko har det israeliska företaget NSO Group sålt sin programvara till bland andra Saudiarabien, Förenade Arabemiraten och Azerbajdzjan – och till EU-landet Ungern, sedan länge på ett sluttande plan mot icke-demokratiskt styre. 

Israel har fått förödande kritik från EU:s mäktigaste länder sedan det blev känt att bland annat en telefon tillhörande Frankrikes president Emmanuel Macron förekommer på en lista som pekas ut som förteckning över potentiellt infekterade enheter. Men även inom EU finns flera exempel på företag som tillhandahåller i stort sett samma slags tjänster som NSO Group. 

– Jag tycker att inom EU så bör man nog titta på sin egen bakgård innan man börjar peka på Israel, säger Erik Halkjaer. Finfish i Tyskland står inför rätta. Med hjälp av Reportrar utan gränser så har de dragits inför rätta förra året. Hacking Team i Italien har fått sin exportlicens indragen.

De appar dessa företag tillhandahåller fungerar som Pegasus gjorde tidigare, säger Erik Halkjaer.

– Man måste klicka på en länk. I vissa fall måste någon ha din telefon i handen för att kunna installera appen. I några fall har det handlat om att man via falska mobilmaster kommer åt din telefon och kan skrapa den på innehåll.

Hur kan man skydda sig som journalist?

– Det är vad jag förstår i princip omöjligt. Så fort meddelandet har rullat in i telefonen så kan telefonen infekteras. Och då är faktiskt det enda sättet att skydda sig att inte använda telefonen. Det är så dramatiskt det är. Man får göra som politiker och många diplomater redan gör i dag, man lämnar telefonen utanför rummet, och så möts man öga mot öga och pratar.

Uppdatering 14 september 2021: På måndagen släppte Apple en uppdatering för Iphone, Ipad och de två nyaste versionerna av Mac OS – High Sierra och Big Sur. Enligt kanadensiska Citizen Lab, som varit med och avslöjat hur mobilerna kunnat hackas, ska uppdateringen täppa till säkerhetshålet som utnyttjats av spionprogrammet. 

Senaste Numret

Prenumerera eller beställ lösnummer

omslag nr 4

Global Investigative Journalism Conference i Göteborg får stor plats även i detta nummer, med bland annat en matig genomgång av de bästa handfasta tipsen som lärdes ut på konferensen.

Läs även om SvD:s Spotifygräv, oligarken som äger en av Sundsvalls största fabriker och journalisterna som jagar en hundplågare i Malmö.

Ute vid lucia.

Beställ här