פגסוס שוב בכותרות: אפל הוציאה עדכון אבטחה דחוף בגלל פרצת אבטחה
חוקרי מכון סיטיזן לאב חשפו פרצת אבטחה שמאפשרת את התקנת תכנת הריגול של NSO הישראלית, מבלי שבעלי המכשיר יתבקשו להקליק על קישור – גרסה מתקדמת יותר מהקודמות
מנדי קוגוסובסקי
| 14/09/2021
REUTERS/Eduardo Munoz
חברת NSO שוב בכותרות: אפל פרסמה אתמול (ב׳) עדכון חירום לתיקון חולשה קריטית בכלל מכשיריה (אייפון, אייפד, מחשב מק ושעון חכם אפל), זאת לאחר שחוקרי מכון סיטיזן לאב באוניברסיטת טורונטו חשפו פרצת אבטחה שמאפשרת את התקנת תכנת הריגול פגסוס, מוצר הדגל של החברה הישראלית, מבלי שבעלי המכשיר אפילו יתבקשו להקליק על קישור או לבצע כל פעולה אחרת (אפס קליק) – גרסה מתקדמת יותר מהקודמות. התכנה משתלטת על המכשיר על ידי שליחת הודעה באפליקציית ההודעות של אפל, שלאחריה מתבצעת חדירה באמצעות חולשה באופן עיבוד התמונות של המכשירים.
״אפל מודעת לדו״ח לפיו ייתכן שהנושא (החולשה, מ״ק) נוצל באופן פעיל״, כתבה החברה בהודעה על עדכון החירום. הניו יורק טיימס מדווח, כי צוותי האבטחה של אפל עבדו מסביב לשעון לפיתוח תיקון מאז יום ג׳ בשבוע שעבר, לאחר שהחוקרים גילו כי גרסה מתקדמת של התוכנה הושתלה בטלפון החכם של פעיל סעודי אנונימי, בעקבות בדיקה שערכו מאז מרץ השנה. העיתון מגדיר את שיטת ה״ניצול מרחוק באמצעות אפס קליק״ כ״גביע הקדוש של המעקב״, כיוון שהוא מאפשר לכל מי שחפץ בכך – כולל ממשלות, שכירי חרב וגורמי זדוניים שונים לפרוץ למכשיר מבלי לעורר כל חשד אצל הקורבן.
תכנת פגסוס ״יכולה לעשות את כל מה שמשתמש אייפון יכול לעשות במכשיר שלו, ועוד״, אמר לניו יורק טיימס ג׳ון סקוט-ריילטון, חוקר פרטי בסיטיזן לאב וחבר בצוות שגילה את החולשה. בין היתר, יכולה התכנה להדליק את המצלמה ואת המיקרופון, להקליט שיחות, מיילים והודעות (גם מוצפנות), ולשלוח אותן בחזרה ללקוחות NSO ברחבי העולם. סיטיזן לאב ציינה כי היא מאמינה שניצול הפגיעות (exploit), אותו כינתה בשם FORCEDENTRY (כניסה בכוח), פעיל לפחות מחודש פברואר 2021, וקראה לכל לקוחות אפל לעדכן באופן מיידי את מכשיריהם. בהודעה שפרסמה, אף פירטה את הפרטים הטכניים והשתלשלות הדברים, שבאמצעותם הגיעה למסקנותיה.
״למרות שהם מבטיחים ללקוחותיהם סודיות מירבית, המודל העסקי של קבוצת NSO מכיל את זרעי חשיפת המסיכה מעל פניהם״, נכתב בפרסום של סיטיזן לאב. ״מכירת טכנולוגיה לממשלות שישתמשו בה באופן חסר אחריות תוך הפרת חוק זכויות האדם הבינלאומי, מקלה בסופו של דבר על גילוי התוכנה על ידי ארגוני החוקרים המתריעים בשער (watchdog), כפי שהראינו ואחרים הראו בהזדמנויות קודמות רבות, וכפי שקורה גם כאן״.
מחברת NSO לא נמסרה תגובה לפניות כלי תקשורת מרחבי העולם. באתר האינטרנט שלה מופיעה הודעה מחודש יולי האחרון, לאחר פרסום נתוני ״פרויקט פגסוס״ על ידי כלי תקשורת מובילים מרחבי העולם, תחת הכותרת ״מספיק זה מספיק!״. בהודעה, כותבת החברה כי רשימת השמות שפורסמה ״אינה רשימה של מטרות או מטרות פוטנציאליות של פגסוס. המספרים ברשימה אינם קשורים לקבוצת NSO״. עוד כותבת החברה כי היא ״תמשיך במשימתה להציל חיים, לסייע לממשלות ברחבי העולם למנוע פעולות טרור, לפרק רשתות פדופיליה, מין וסחר בסמים, לאתר ניצולים מתחת לבניינים שקרסו ולהגן על המרחב האווירי מפני חדירה של מזל״טים מסוכנים״.
חוקרי מכון סיטיזן לאב חשפו פרצת אבטחה שמאפשרת את התקנת תכנת הריגול של NSO הישראלית, מבלי שבעלי המכשיר יתבקשו להקליק על קישור – גרסה מתקדמת יותר מהקודמות
REUTERS/Eduardo Munoz
חברת NSO שוב בכותרות: אפל פרסמה אתמול (ב׳) עדכון חירום לתיקון חולשה קריטית בכלל מכשיריה (אייפון, אייפד, מחשב מק ושעון חכם אפל), זאת לאחר שחוקרי מכון סיטיזן לאב באוניברסיטת טורונטו חשפו פרצת אבטחה שמאפשרת את התקנת תכנת הריגול פגסוס, מוצר הדגל של החברה הישראלית, מבלי שבעלי המכשיר אפילו יתבקשו להקליק על קישור או לבצע כל פעולה אחרת (אפס קליק) – גרסה מתקדמת יותר מהקודמות. התכנה משתלטת על המכשיר על ידי שליחת הודעה באפליקציית ההודעות של אפל, שלאחריה מתבצעת חדירה באמצעות חולשה באופן עיבוד התמונות של המכשירים.
״אפל מודעת לדו״ח לפיו ייתכן שהנושא (החולשה, מ״ק) נוצל באופן פעיל״, כתבה החברה בהודעה על עדכון החירום. הניו יורק טיימס מדווח, כי צוותי האבטחה של אפל עבדו מסביב לשעון לפיתוח תיקון מאז יום ג׳ בשבוע שעבר, לאחר שהחוקרים גילו כי גרסה מתקדמת של התוכנה הושתלה בטלפון החכם של פעיל סעודי אנונימי, בעקבות בדיקה שערכו מאז מרץ השנה. העיתון מגדיר את שיטת ה״ניצול מרחוק באמצעות אפס קליק״ כ״גביע הקדוש של המעקב״, כיוון שהוא מאפשר לכל מי שחפץ בכך – כולל ממשלות, שכירי חרב וגורמי זדוניים שונים לפרוץ למכשיר מבלי לעורר כל חשד אצל הקורבן.
תכנת פגסוס ״יכולה לעשות את כל מה שמשתמש אייפון יכול לעשות במכשיר שלו, ועוד״, אמר לניו יורק טיימס ג׳ון סקוט-ריילטון, חוקר פרטי בסיטיזן לאב וחבר בצוות שגילה את החולשה. בין היתר, יכולה התכנה להדליק את המצלמה ואת המיקרופון, להקליט שיחות, מיילים והודעות (גם מוצפנות), ולשלוח אותן בחזרה ללקוחות NSO ברחבי העולם. סיטיזן לאב ציינה כי היא מאמינה שניצול הפגיעות (exploit), אותו כינתה בשם FORCEDENTRY (כניסה בכוח), פעיל לפחות מחודש פברואר 2021, וקראה לכל לקוחות אפל לעדכן באופן מיידי את מכשיריהם. בהודעה שפרסמה, אף פירטה את הפרטים הטכניים והשתלשלות הדברים, שבאמצעותם הגיעה למסקנותיה.
״למרות שהם מבטיחים ללקוחותיהם סודיות מירבית, המודל העסקי של קבוצת NSO מכיל את זרעי חשיפת המסיכה מעל פניהם״, נכתב בפרסום של סיטיזן לאב. ״מכירת טכנולוגיה לממשלות שישתמשו בה באופן חסר אחריות תוך הפרת חוק זכויות האדם הבינלאומי, מקלה בסופו של דבר על גילוי התוכנה על ידי ארגוני החוקרים המתריעים בשער (watchdog), כפי שהראינו ואחרים הראו בהזדמנויות קודמות רבות, וכפי שקורה גם כאן״.
מחברת NSO לא נמסרה תגובה לפניות כלי תקשורת מרחבי העולם. באתר האינטרנט שלה מופיעה הודעה מחודש יולי האחרון, לאחר פרסום נתוני ״פרויקט פגסוס״ על ידי כלי תקשורת מובילים מרחבי העולם, תחת הכותרת ״מספיק זה מספיק!״. בהודעה, כותבת החברה כי רשימת השמות שפורסמה ״אינה רשימה של מטרות או מטרות פוטנציאליות של פגסוס. המספרים ברשימה אינם קשורים לקבוצת NSO״. עוד כותבת החברה כי היא ״תמשיך במשימתה להציל חיים, לסייע לממשלות ברחבי העולם למנוע פעולות טרור, לפרק רשתות פדופיליה, מין וסחר בסמים, לאתר ניצולים מתחת לבניינים שקרסו ולהגן על המרחב האווירי מפני חדירה של מזל״טים מסוכנים״.
