מנכ"לים של משרדי ממשלה, בנו ויועציו של ראש ממשלה לשעבר, פעילי מחאה, ראשי ערים - כל אלה, לפי התחקיר המטלטל של "כלכליסט", הודבקו על ידי משטרת ישראל בתוכנת הריגול פגסוס של חברת הסייבר ההתקפי NSO שהפכה למעשה את הטלפון החכם שלהם למכשיר ריגול ומעקב. איך הרוגלה המתוחכמת של NSO עובדת, כיצד ניתן לזהות אותה והאם ניתן להסיר אותה מהמכשיר? שאלות ותשובות.
פרשת פגסוס עודד ואנונו צ'ק פוינט
(צילום: משי בן עמי)
עוד כתבות בנושא:
מה זה בדיוק פגסוס?
פגסוס היא רוגלה (תוכנת ריגול) שניתן לשתול הן במכשירי אנדרואיד והן במכשירי אייפון, והיא מסוגלת להפוך את הסמארטפון לכלי ריגול לכל דבר. מי שהשתלט על המכשיר מרחוק יכול לשלוף ממנו קבצים, להפעיל את המצלמה ואת המיקרופון, לגשת למיקום של המכשיר, לצפות באנשי הקשר ובלוח השנה וכן לעקוב אחרי ההתכתבויות באפליקציות המסרים ואחר הפעילות ברשתות החברתיות.
NSO מוכרת את פגסוס לרשויות אכיפת חוק בלבד, באישור אגף הפיקוח על הייצוא הביטחוני במשרד הביטחון (אפ"י). בחברה אומרים כי במקרה של חשד לשימוש לרעה, יש באפשרותה לגשת למערכת של הלקוח על מנת לנהל חקירה בעניין. בשנה שעברה הצהירה החברה כי ניתקה חמישה לקוחות בעקבות שימוש לרעה במוצר.
כיצד מדביקים טלפון בפגסוס?
NSO, שהוקמה בשנת 2010, הצליחה לשפר את היעילות של פגסוס בצורה משמעותית לאורך השנים. אם ב-2016 כדי להדביק טלפונים היה צריך לגרום לקורבן ללחוץ על קישור זדוני שנשלח אליו בהודעת SMS או במייל, היום הוא כבר לא צריך לעשות דבר. מדובר בטכניקה שנקראת Zero-Click, והיא מתאפשרת באמצעות ניצול של חולשות אבטחה באפליקציות שקיימות על הטלפון. מדובר בדרך כלל בחולשות Zero-Day, כאלה שהיצרן לא מודע אליהן ולכן לא יכול היה לתקן אותן.
החקירה של אמנסטי העלתה כי NSO ניצלה חולשת אבטחה באפליקציית המסרים iMessage שמותקנת מראש על כל אייפון, אבל זה לא וקטור התקיפה היחיד שלה: ב-2019 תבעה פייסבוק את NSO בטענה שניצלה חולשת אבטחה באפליקציית וואטסאפ כדי לפרוץ לטלפונים של 1,400 משתמשים. גם במקרה הזה, הקורבן לא היה צריך ללחוץ על שום דבר - שיחת וואטסאפ נכנסת הספיקה כדי להדביק אותו בפגסוס.
3 צפייה בגלריה
חלק מהיעדים של משטרת ישראל לפי תחקיר "כלכליסט"
(צילום: יובל חן, דנה קופל, עמית שאבי, משה מזרחי, קובי קואנקס, טל שחר, אלכס קולומויסקי)
זה לא מקרי שב-NSO בחרו לנצל חולשות אבטחה דווקא בשתי האפליקציות האלה: iMessage מותקנת מראש על כל אייפון, ולפי ההצהרות של חברת אפל, יש יותר ממיליארד אייפונים פעילים בעולם. וואטסאפ, לעומת זאת, היא אחת האפליקציות הפופולריות בעולם, ויש לה יותר משני מיליארד משתמשים ברחבי העולם. חולשות אבטחה באפליקציות האלה מבטיחות ל-NSO גישה למיליארדים של טלפונים, ואפשר להניח שהמהנדסים של החברה עובדים יום ולילה כדי למצוא עוד ועוד כאלה.
אם חולשות ה-Zero-Day באייפון מאכזבות, יש אלטרנטיבות: הדבקה של הטלפון באמצעות לינק זדוני, היעזרות במשדר אלחוטי שנמצא ליד המכשיר או חזרה לשיטה הישנה והטובה מימים עברו - לגנוב את הטלפון ולהדביק אותו ברוגלה. היו מקרים שבהם דווח על שתילת פגסוס באמצעות רשת סלולרית מזויפת ואפילו באמצעות החלפת הטלפון של הקורבן בטלפון זהה עם הרוגלה בתוכו.
האם זה תמיד עובד?
פגסוס לא עובדת ב-100%. בדיקות של טלפונים שנחשדו כפרוצים הצביעו על ניסיונות פריצה שלא צלחו.
כיצד ניתן לדעת אם הטלפון שלי נפרץ?
לוקאס סטפנקו, חוקר הנוזקות של חברת אבטחת המידע ESET, אומר כי "הסימנים הנפוצים ביותר שמראים על מכשיר שנפרץ הם התרוקנות מהירה מהרגיל של הסוללה, עליות פתאומיות בשימוש באינטרנט שאינן קשורות לשינוי בהרגלי הגלישה, כיבוי והדלקה של אפשרויות ה-GPS או האינטרנט באופן עצמאי, פרסומות שמופיעות באופן אקראי או אפליקציות לא מוכרות שהותקנו ללא אישורכם".
לדברי סטפנקו, סימן אחר שמראה על פריצה אפשרית למכשיר הוא שינוי חריג בהתנהגות של אפליקציות שעבדו כרגיל לפני כן, כמו הפעלה של האפליקציה או סגירה שלה, קריסה שלה או שגיאות לא צפויות. התופעות האלה לא פוגעות רק באפליקציות ואתם עשויים לראות שגם המכשיר עצמו ומערכת ההפעלה מתחילים להתנהג באופן משונה.
הטלפון שלי נפרץ. האם אפשר להסיר את פגסוס?
לדברי עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, התוכנה הזדונית נשמרת בזיכרון של המכשיר וכדי לנטרל אותה, ניתן לעשות ריסטארט לטלפון. פעולה שבסבירות גבוהה יותר תוביל להסרת הרוגלה מהטלפון שלכם היא איפוס של המכשיר לנתוני יצרן ולאחר מכן שיחזור של הגיבוי.
