W ostatnich latach dziennikarze(nowe okno) stali się jednym z głównych celów inwigilacji ze strony rządów na całym świecie. Jeśli jesteś reporterem(nowe okno) pracującym nad wrażliwymi tematami, żaden kraj nie jest bezpieczny dla prywatności w kontekście międzynarodowego rynku aplikacji szpiegujących(nowe okno), które mogą potajemnie monitorować wszystkie dane przesyłane i przechowywane na Twoim iPhonie.

W miarę rozprzestrzeniania się tych aplikacji, kluczowe stało się zrozumienie, jak znaleźć ukryte aplikacje na iPhonie i je usunąć.

Oprogramowanie szpiegujące wymierzone w dziennikarzy

W czerwcu 2025 roku badacze z Citizen Lab(nowe okno) zgłosili nowe dowody(nowe okno) na to, że włoski rząd bierze na cel dziennikarzy i aktywistów za pomocą oprogramowania szpiegującego Graphite opracowanego przez izraelską firmę Paragon Solutions(nowe okno).

Citizen Lab wcześniej znalazło dowody na użycie Graphite(nowe okno) w Australii, Kanadzie, Danii, Singapurze, Izraelu i na Cyprze, z potencjalnymi powiązaniami z policją w Kanadzie. Graphite jest odpowiedzialne za atak hakerski w styczniu 2025 roku, którego celem było prawie 100 dziennikarzy i innych członków społeczeństwa obywatelskiego używających WhatsAppa(nowe okno) na swoich iPhone’ach. Co istotne, biorąc pod uwagę obecne wydarzenia w Stanach Zjednoczonych, amerykański Urząd Imigracyjny i Celny (ICE) podpisał kontrakt o wartości 2 milionów dolarów(nowe okno) z Paragon w 2024 roku.

Graphite działa w bardzo podobny sposób do niesławnego oprogramowania szpiegującego Pegasus(nowe okno) od NSO Group(nowe okno). Będąc konkurentem Paragon Solutions w świecie komercyjnego oprogramowania szpiegującego, ta firma jest znana ze swoich bliskich relacji z państwem izraelskim, a jej oprogramowanie szpiegujące jest klasyfikowane jako eksport wojskowy(nowe okno) przez Izrael. NSO Group sprzedaje swoje oprogramowanie rządom na całym świecie(nowe okno), w tym Arabii Saudyjskiej, Dubajowi, Indiom, Meksykowi, Maroku, Rwandzie i Węgrom, a jej oprogramowanie Pegasus jest powiązane z brutalnym zabójstwem(nowe okno) saudyjskiego aktywisty praw człowieka Jamala Khashoggi(nowe okno).

Jak hakerzy ukrywają aplikacje na iPhonie

Zarówno Graphite, jak i Pegasus to zestawy exploitów wymierzone w iPhone’y. Graphite jest nowszy i znacznie słabiej udokumentowany niż Pegasus, a wymowny jest fakt, że izraelski rząd dążył do zastąpienia Pegasusa Graphitem(nowe okno) w saudyjskim arsenale.

Apple wydało łatkę(nowe okno) chroniącą przed Pegasusem jeszcze w 2023 roku, a po ataku na WhatsAppa wydało poprawkę dla iOS 18.3.1, aby zająć się luką wykorzystywaną przez Graphite. Nie ma jednak gwarancji, że te łatki będą skuteczne przeciwko zaktualizowanym wersjom oprogramowania szpiegującego.

Obie aplikacje wykorzystują luki zero-day w iOS, używając różnych wektorów ataku. Najbardziej niepokojące z nich to ataki zero-click(nowe okno), które wykorzystują luki w aplikacjach takich jak iMessage, WhatsApp czy FaceTime, aby po cichu zainfekować urządzenie bez konieczności klikania w linki czy innej interakcji ofiary z telefonem.

Gdy iPhone zostanie zainfekowany, oprogramowanie szpiegujące wykorzystuje architekturę modułową, aby zdalnie włączyć lub wyłączyć komponenty w oparciu o cele inwigilacyjne klienta. Możliwości obejmują:

  • Keylogging
  • Dostęp do mikrofonu i kamery (do podsłuchu audio i wideo na żywo)
  • Dostęp do logów połączeń, SMS-ów, kontaktów i wiadomości
  • Dostęp do danych zaszyfrowanych aplikacji komunikacyjnych (Signal, WhatsApp, Telegram) przy użyciu usług ułatwień dostępu lub poprzez przechwytywanie danych przed szyfrowaniem
  • Śledzenie GPS
  • Przechwytywanie zrzutów ekranu

Oprogramowanie szpiegujące jest bardzo trudne do wykrycia na iPhonie i może ulec autodestrukcji, aby usunąć dowody, jeśli nie połączy się z serwerem przez określony czas lub na komendę. NSO Group stworzyło wersję Pegasusa, która bierze na cel również urządzenia z Androidem(nowe okno). Ma ona podobną funkcjonalność do wersji na iOS, ale wykorzystuje inny tryb ataku.

Bardzo trudno oszacować, ile urządzeń jest dotkniętych którymkolwiek z tych programów szpiegujących, ale w 2021 roku z NSO Group wyciekło 50 000 numerów telefonów(nowe okno) potencjalnych celów Pegasusa.

Jak sprawdzić swojego iPhone’a pod kątem oprogramowania szpiegującego Pegasus

Apple nie zezwala na prawdziwe aplikacje chroniące przed złośliwym oprogramowaniem w App Store (ściśle mówiąc, aplikacje “anti-malware” są dostępne w App Store, ale ograniczenia ich dostępu do zasobów systemowych poważnie limitują ich użyteczność). A w każdym razie tradycyjne oprogramowanie antywirusowe jest nieskuteczne przeciwko Pegasusowi na innych platformach.

Firma zajmująca się bezpieczeństwem urządzeń mobilnych iVerify oferuje narzędzie Threat Hunting(nowe okno), które według niej wykryło już siedem infekcji Pegasusem(nowe okno) (stan na grudzień 2024). Dostępne za mniej niż dolara w App Store (jakoś omijając ograniczenia Apple dotyczące skanowania pod kątem złośliwego oprogramowania), iVerify Basic(nowe okno) jest bardzo łatwe w użyciu. Ale jako zamknięte oprogramowanie własnościowe, nie ma sposobu na niezależną ocenę jego skuteczności.

Inną opcją jest użycie Mobile Verification Toolkit (MVT(nowe okno)), darmowego narzędzia o otwartym kodzie źródłowym od grupy praw człowieka Amnesty International’s Security Lab(nowe okno). Wyodrębnia ono różne rodzaje danych z kopii zapasowej iPhone’a, aby znaleźć dowody ataku Pegasusa, w tym

  • Wiadomości SMS
  • Logi połączeń
  • Dane z zainstalowanych aplikacji
  • Logi systemowe

Następnie analizuje te dane, aby wykryć „wskaźniki zagrożenia” (IOC), takie jak konkretne procesy i nazwy plików, o których wiadomo, że są powiązane z Pegasusem. Należy jednak zauważyć, że aby użyć tego narzędzia, będziesz potrzebować komputera z Linuxem lub Maca oraz znajomości wiersza poleceń. Wymagane jest również głębsze zrozumienie analizy śledczej złośliwego oprogramowania, aby w pełni wykorzystać wyniki.

Bardziej przyjazną dla użytkownika opcją (z interfejsem graficznym) jest narzędzie iMazing(nowe okno), które wykorzystuje metodologię “blisko odzwierciedlającą” tę z MVT o otwartym kodzie źródłowym. Jest to płatne oprogramowanie, ale darmowa wersja próbna zawiera narzędzie do wykrywania Pegasusa. Nadal będziesz jednak potrzebować dostępu do komputera z Linuxem lub Maca.

Jak sprawdzić swojego iPhone’a pod kątem oprogramowania szpiegującego Graphite

Nie ma jeszcze dostępnych narzędzi, które mogłyby konkretnie wykryć infekcję Graphite.

Omówione powyżej narzędzia do wykrywania Pegasusa mogą mieć pewne szanse na wykrycie nowszego oprogramowania szpiegującego, ale nie można na nich polegać. Ogólne wskazówki omówione poniżej mogą być również przydatne do wykrywania podejrzanego zachowania.

Jak znaleźć ukryte aplikacje na iPhonie

Ogólnie rzecz biorąc (poza rodzajem oprogramowania szpiegującego sponsorowanego przez państwo, o którym mowa powyżej), iPhone’y nie pozwalają aplikacjom stron trzecich na prawdziwe “ukrycie się” w tle, tak jak mogą to robić na Androidzie. Niektóre mogą być jednak celowo trudne do znalezienia.

Mimo dość solidnego sandboxingu, podpisywania kodu i procesu weryfikacji App Store firmy Apple, iPhone’y nie są odporne na wirusy ani złośliwe oprogramowanie(nowe okno). Osoby mające bezpośredni dostęp do Twojego telefonu (takie jak sprawcy przemocy domowej) mogą również zainstalować mniej wyrafinowane formy oprogramowania szpiegującego, gdy nie patrzysz.

Oznacza to, że każdy może skorzystać na okresowym sprawdzaniu, czy na jego iPhonie nie działa nic, co nie powinno. Oto kilka wskazówek dotyczących znajdowania ukrytych aplikacji:

1. Sprawdź Bibliotekę aplikacji: Przesuń palcem całkowicie do skrajnego prawego ekranu początkowego. Tutaj zobaczysz wszystkie aplikacje zainstalowane na Twoim iPhonie, nawet jeśli nie widzisz ich na zwykłych ekranach początkowych. Szukaj wszelkich aplikacji, które są Ci nieznane, zwłaszcza tych z obco brzmiącymi nazwami. Sprawdź online, czy reprezentują one legalne oprogramowanie, czy są powszechnym przebraniem dla złośliwego oprogramowania. W razie wątpliwości odinstaluj aplikacje.

Sprawdź Bibliotekę aplikacji pod kątem ukrytych aplikacji

2. Sprawdź złośliwe profile konfiguracji: Są one przeznaczone dla firm i szkół do zdalnego zarządzania iPhonem, ale mogą być ważnym wektorem ataków złośliwego oprogramowania(nowe okno). Otwórz aplikację Ustawienia i przejdź do OgólneVPN i zarządzanie urządzeniem. Usuń wszelkie profile(nowe okno), których nie rozpoznajesz.

3. Sprawdź swoją przestrzeń dyskową: Otwórz aplikację Ustawienia i przejdź do OgólnePrzestrzeń dyskowa iPhone’a. Przejrzyj listę zainstalowanych aplikacji wyświetloną tutaj. Wszelkie rozbieżności między widocznymi aplikacjami na ekranie początkowym a tymi pokazanymi tutaj wymagają dalszego dochodzenia.

Sprawdź przestrzeń dyskową iPhone'a pod kątem złośliwego oprogramowania

4. Zwracaj uwagę na podejrzane zachowanie: Nietypowe zużycie baterii lub danych albo gorący telefon, gdy nie jest używany, mogą wskazywać na złośliwe oprogramowanie. Jeśli masz umiejętności techniczne, możesz użyć narzędzi do przechwytywania pakietów, takich jak Wireshark(nowe okno), aby przeanalizować, dokąd trafiają dane z Twojego iPhone’a.

Co zrobić z oprogramowaniem szpiegującym na Twoim urządzeniu

Jedną z zachęcających wiadomości płynących z badań Citizen Lab jest to, że oprogramowanie szpiegujące, takie jak Graphite i Pegasus, jest wysoce ukierunkowane — głównie na dziennikarzy, ale aktywiści, dysydenci, politycy i osoby pracujące w wrażliwych sektorach również mogą być celami.

Jeśli obawiasz się, że możesz być celem tego rodzaju inwigilacji, powinieneś aktywować Tryb blokady. Jest to specjalna funkcja zaprojektowana przez Apple w celu wzmocnienia iPhone’ów przed właśnie takim rodzajem ukierunkowanych cyberataków, jakie stosują Pegasus i Graphite. Aby włączyć Tryb blokady, otwórz aplikację Ustawienia i przejdź do Prywatność i ochronaOchronaTryb blokady.

Użyj Trybu blokady, aby chronić się przed ukrytymi aplikacjami

Warto zauważyć, że korzystanie z Trybu blokady wiąże się z pewnymi minusami, takimi jak ograniczona funkcjonalność, zmniejszona wygoda, potencjalne problemy z kompatybilnością i mniej opcji dostosowywania. Dlatego nie jest to świetna opcja dla większości ludzi. Ale jeśli jesteś dziennikarzem lub z innego powodu myślisz, że możesz być celem oprogramowania szpiegującego, korzyści w zakresie bezpieczeństwa prawdopodobnie przeważą nad wszelkimi stosunkowo drobnymi niedogodnościami.

Inne rzeczy, które możesz zrobić, to:

  1. Zaktualizuj iOS: Najlepszą obroną przed złośliwym oprogramowaniem jest utrzymywanie systemu iOS zaktualizowanym, ponieważ Apple rutynowo łata swój mobilny system operacyjny, aby rozwiązać nowe luki bezpieczeństwa, gdy tylko dowie się o ich istnieniu.
  2. Nie rób jailbreaka(nowe okno) telefonu: Usuwa to wiele funkcji bezpieczeństwa, które są normalnie wbudowane w iOS, i potencjalnie pozwala stronom trzecim ominąć App Store i sideloadować(nowe okno) aplikacje na Twój telefon bez Twojej wiedzy.
  3. Przywróć ustawienia fabryczne telefonu: Jeśli masz podejrzenia co do aplikacji na swoim telefonie, powinieneś przywrócić ustawienia fabryczne telefonu(nowe okno). Pozbędzie się to prawie całego złośliwego oprogramowania “poziomu konsumenckiego”. Ale może to nie wystarczyć do usunięcia oprogramowania szpiegującego sponsorowanego przez państwo, takiego jak Graphite i Pegasus. Jeśli podejrzewasz ten poziom inwigilacji, prawdopodobnie najlepiej będzie wezwać profesjonalnego eksperta od złośliwego oprogramowania lub po prostu wymienić iPhone’a.
  4. Użyj NetShield Ad-blocker: Rozwiązanie filtrowania DNS od Proton VPN może blokować wywołania DNS do znanych domen ze złośliwym oprogramowaniem i próbami wyłudzenia informacji. Oznacza to, że nawet jeśli Twój iPhone zostanie zainfekowany złośliwym oprogramowaniem, może nie być w stanie połączyć się z serwerem.

Jeśli w ogóle martwisz się, że możesz być celem złośliwego oprogramowania sponsorowanego przez państwo, Tryb blokady jest specjalnie zaprojektowany, aby przeciwdziałać takim zagrożeniom. Dla wszystkich innych Apple w dużej mierze wykonuje dobrą robotę w utrzymaniu bezpieczeństwa iPhone’ów, ale upewnij się, że Twój jest zaktualizowany do najnowszej wersji iOS i zachowaj czujność.