תוכנת ״פגאסוס״ של חברת NSO הישראלית נחשבת לכלי ריגול יוצא דופן. מרגע שהושתלה במכשיר נייד, היא מאפשרת לתוקף ממרחק שליטה מלאה במכשיר ללא ידיעת בעליו. נוסף על כך קשה מאוד לברר האם מכשיר טלפון הודבק ברוגלה והאם היא פועלת בו.
איך פועלת התוכנה?
ל״פגאסוס״, המבוססת על השתלת תוכנה בעלת 'הרשאות-על' במכשיר הנייד, יש שני חלקים: אחד אחראי על החדירה למכשיר הנייד ו״משגר״ אליו את קוד הרוגלה מהמחשב התוקף.
השני הוא חלק שמותקן בטלפון החכם ו'מטלפן הביתה' לבקשת התוקף, ואז מזרים אליו מידע מהטלפון המותקף לפי בקשתו. בעלי טלפונים נגועים לא יודעים ולא חשים בהפרעות בתפקוד המכשיר, ולכן לא יודעים שהטלפון נגוע.
בעוד שחלק נכבד מהרוגלות הקיימות כיום מבוססות בדרך כלל על פעולה אקטיבית של המשתמש כדי לבצע הדבקה (למשל גלישה לאתר ש"מדביק" את המכשיר או הקלקה על קישור כלשהו), מפתחי פגאסוס מצאו פגמים במערכות ההפעלה אנדרואיד ו-IOS, שמאפשרים הדבקה גם ללא כל מעורבות של המשתמש.
כדי להיחשף להדבקה, מספיק שבידי התוקף יהיה מספר הטלפון של הנתקף, או שבמכשיר יהיו מותקנות אפליקציות פופולריות לקריאת אימיילים, ושל רשתות חברתיות כמו וואטסאפ ופייסבוק.
מה מומלץ לעשות כדי למתן סכנה מרוגלות?
מכיוון שחלק מהרוגלות אינן עמידות לכיבוי והדלקה של המכשיר, הגנה מפניהן אפשרית בשגרה של כיבוי הטלפון והדלקתו אחת לכמה ימים. אפשרות נוספת, המחייבת יותר מיומנות בטלפונים חכמים, היא גיבוי כל המידע במכשיר, התקנה מחדש של מערכת ההפעלה מהגרסה המקורית של יצרן הטלפון, ושחזור המידע מהגיבוי.
אלא שגם פעולה קפדנית וזהירה של המשתמש בטלפון החכם עשויה להגן עליו רק מפני רוגלות ונוזקות שרמת התחכום שלהן נמוכה, אך לא מכלי פריצה שפותחו על ידי NSO וחברות דומות המתקרבות ברמתן הטכנולוגית לארגוני ביון.
הדרך היחידה הוודאית להגן על מידע מפני חדירות מסוג זה היא לא לשמור אותו על הטלפון, או בכל שירות ענן שנגיש דרך הטלפון, מה שהופך אותה לבלתי מעשית.
ארגון אמנסטי פרסם קוד תוכנה שבאמצעותו ניתן לאתר בטלפון הנייד סימנים המעידים על נוכחות רוגלות כדוגמת פגאסוס, אך פתיחה של התוכנה הזו מחייב שימוש במחשב שבו פועלת מערכת הפעלה מסוג לינוקס או מק, בשונה מרוב המחשבים הפעילים בישראל. וגם אז נדרשות כמה פעולות טכניות נוספות, כדי שהתוכנה תהיה מסוגלת לסרוק את תכולת המכשיר, ותאפשר זיהוי סימנים המעידים על הדבקה ברוגלה.
הליך בדיקה כזה הוא מסורבל מדי ולא נגיש למרבית המשתמשים, ומצריך לבצע אותו אצל מומחה לסייבר. נוסף על כך, עצם פרסום הקוד של תוכנת אמנסטי, מאפשר למפתחי רוגלות לבצע שינויים, כך שבגרסה הבאה הרוגלה תסווה טוב יותר את נוכחותה במכשיר.
פתרון נקודתי אחר לבדיקת טלפונים מסוג אייפון בלבד, הוא באמצעות תוכנת IMAZING הכוללת את הקוד שפיתח אמנסטי, באופן פחות מסורבל להפעלה ובחינם. את הכלי הזה ניתן להריץ גם על מחשבים שמערכת ההפעלה שלהם היא חלונות של מיקרוסופט.
האם יש הבדל בין אייפון לאנדרואיד?
במירוץ המתמשך למציאת פרצות אבטחה וסגירתן, תמיד קיימת האפשרות שמפתחי הרוגלה מצאו פרצה לא ידועה, גם אם כל הפרצות הידועות כבר תוקנו וכל המכשירים הניידים מעודכנים לגרסה האחרונה.
מציאת פרצות במכשירי אייפון הופכת בבת אחת כמות גדולה של מכשירי טלפון לפגיעים. חברת אפל מבצעת מירוץ של "חתול ועכבר" כדי לבצע עדכוני אבטחה לחסימת הפרצות האלו, אך עד כה NSO הצליחה להתגבר על מאמציה של אפל, ולחדור גם לגרסאות הכי עדכניות של מערכת ההפעלה שלה.
למערכת ההפעלה במכשירי אנדרואיד, לעומת זאת, יש שפע גרסאות שונות במקצת אצל יצרני המכשירים השונים. מציאת פרצה באנדרואיד קלה יותר מאשר במכשירי אייפון, אך רלוונטית בדרך כלל למספר קטן יותר של מכשירים לעומת מכשירי אייפון.
האם זוהתה נקודת תורפה ברורה במכשירים?
חולשת אבטחה באפליקציית וואטסאפ עלולה להוות סכנה להדבקה של מכשירים משני הסוגים. בעבר אותרה חולשה כזו, שדרכה די היה שמהמחשב התוקף יבצע חיוג של שיחת וידאו בוואטסאפ למכשיר המותקף כדי "לבלבל" את האפליקציה, לגרום לה להריץ קוד זדוני שמזריק את הרוגלה למכשיר, מבלי שבעליו צריכים אפילו לענות לשיחה.
מה אומר החוק?
לפי משפטנים העוסקים בפרטיות, חדירה למכשיר נייד עם הרשאת 'מנהל מערכת', שיכולה לשלוח כל תוכן השמור בו ואפילו להדליק באופן סמוי את המצלמה והמיקרופון (ובכך להפוך ל'זרוע הארוכה' של המשטרה בכיסי האזרחים) איננה מוסדרת בשום צורה בחוק הישראלי.
חוקי המדינה מאפשרים למשטרה להשיג נתונים אודות התקשורת ולבצע האזנות, תחת חוק נתוני תקשורת והאזנות סתר, אך חוקים אלו נכתבו הרבה לפני פיתוח טכנולוגיית הטלפון החכם ורוגלות מסוג פגאסוס.
כיום, גם הצהרת חברה שהרוגלה לא מופעלת נגד מספרי טלפון ישראליים מופרכת, לאור העובדה שהמשטרה לא הכחישה שהיא נמצאת בידיה, ושנעשה בה שימוש נגד ישראלים.
על פי משפטנים העוסקים בפרטיות, בשל היעדר הסדרה בחוקים הקיימים, כל שימוש של משטרת ישראל ברוגלה זו כנגד אזרחי ישראל הוא שימוש בלתי חוקי, ללא תלות בשאלה האם הוצא צו משפטי המתיר האזנת סתר כנגד אותו אזרח.
ובעולם?
בשנים האחרונות פורסמו בכלי התקשורת בעולם מספר פרשיות על שימוש בפגאסוס של NSO, ורוגלות של חברות אחרות נגד מגוון רחב של אזרחים חפים מפשע, חלקן במשטרים מפרי זכויות אדם מובהקים, בניגוד להצהרות החברה עצמה. גם ה-FBI האמריקאי הודה לאחרונה שביצע 'שימוש נסיוני', כהגדרתו, ברוגלה, וידוע שהיא הופעלה על ידי מדינה כלשהי נגד דיפלומטים אמריקאים.
