NSO מכה שוב? אפל תיקנה חולשות ששימשו לשתילת רוגלת פגסוס

אפל (Apple) שחררה בסוף השבוע עדכון אבטחה שמטליא שתי פגיעויות יום אפס, שלפי הידוע אחת מהן שימשה בפועל לפריצה לארגון זכויות אזרחיות בוושינגטון הבירה, כך על פי החוקרים של סיטיזן לאב (Citizen Lab) מאוניברסיטת טורונטו – קבוצת מחקר שפועלת לאיתור רושעות ונוזקות בשוק של תוכנות ומערכות שמשמשות ממשלים.

לפי פוסט שעלה לבלוג של סיטיזן לאב, הפרשה החלה בשבוע שעבר, בזמן שהקבוצה בדקה מכשיר iPhone של אדם המועסק על ידי ארגון זכויות אדם מוושינגטון די.סי. – ארגון אשר לו משרדים בינלאומיים. במהלך הבדיקה מצאה סיטיזן לאב פגיעות שנוצלה באופן פעיל כדי להחדיר את תוכנת הריגול הידועה לשמצה של NSO Group הישראלית לסמארטפון שנבדק.

קבוצת מחקר שפועלת לאיתור רושעות ונוזקות בשוק של תוכנות ומערכות שמשמשות ממשלים. סיטיזן לאב מאוניברסיטת טורונטו.

ריגול בשירות משטרים אפלים, לכאורה

מאז שהחלו נפוצים דיווחים על הרוגלה שלה ועל פועלה ברחבי העולם מול משטרים אפלים שהם לקוחותיה, לכאורה, NSO Group הכחישה חזור והכחש את הטענות לפיהן הרוגלה שפיתחה שימשה או משתמשת כדי לעקוב אחרי פעילי זכויות אדם.

העיתונאי מתנגד המשטר הסעודי ג'מאל חאשוקג'י, שנרצח ב-2018. צילום: BigStock

החברה שבה והתעקשה שהיא מוכרת את המוצרים שלה רק לגופים ממשלתיים ובאישור ממשלת ישראל, ושהם נועדו לשמש את הלקוחות ככלי ללכידת פושעים וטרוריסטים ולסיכול מעשיהם. עם זאת החברה הישראלית נתונה תחת בדיקות וחקירות מתמשכות במדינות רבות ברחבי העולם, ובנוסף, חברת הסייבר ההתקפי הישראלית הוכנסה לרשימה השחורה של הממשל האמריקני, משום שלפי דבריו, היא מוכרת כלי פריצה בסייבר למשטרים אוטוריטריים.

לצד כל אלה, NSO נתבעה על ידי מטא, בתביעה שבה נטען כי באפריל ובמאי 2019, כ-1,400 משתמשי ווטסאפ הותקפו באמצעות פגסוס, בהם יותר מ-100 פעילים אזרחיים וחברתיים, לרבות עיתונאים מהודו, פעילי זכויות אדם ממרוקו, דיפלומטים ופקידי ממשל בכירים. NSO ערערה על זכותה של מטא לתבוע אותה, אך בית המשפט העליון בארה"ב אישר את המשך ההליך המשפטי.

נזכיר כי אחת הפרשות החמורות שנקשרו בשמה של החברה הישראלית הייתה רצח העיתונאי הסעודי ג'מאל חאשוקג'י. הפרשה החלה כשגאנם אלמסאריר – סטיריקן הידוע כמתנגד משטר סעודי וכפעיל פוליטי, שקיבל מקלט מדיני בממלכה המאוחדת – גילה כי נפגע על ידי תוכנות הריגול של החברה הישראלית. דרך הריגול אחריו באמצעות התוכנה המפורסמת התקבל ככל הנראה המידע שהביא לרצח העיתונאי חאשוקג'י, שגם הוא היה פעיל נגד המשטר הסעודי. לפי הגרדיאן, ביוני 2018 קיבל אלמסאריר הודעות חשודות שמומחי אבטחת הסייבר של סיטיזן לאב חשפו כקשורות, לכאורה, לפגסוס ו-NSO.

במקרה האחרון: פגיעות אפס לחיצה

במקרה האחרון, בפוסט שהחוקרים העלו לאתר הרשמי שלהם נכתב כי מדובר בפגיעות שכדי לנצל אותה אין צורך במעורבות המשתמש והיא מהסוג שמכונה 'פגיעות אפס לחיצה'. הם הוסיפו וסיפרו שהפגיעות שנחשפה על ידם שימשה כחלק מתהליך של פעולות שהמטרה הסופית שלהן הייתה להתקין את פגסוס המפורסמת של NSO על המכשיר של הקורבן.

ההתקפה זוהתה, ובעקבותיה גם הפגיעות שבה נעשה שימוש, במכשירי iPhone שמריצים את הגרסה המעודכנת של מערכת ההפעלה iOS 16.6. כאמור, מדובר בהתקפה שהמשתמש לא מודע אליה בכלל, ולמעשה גם לא נדרשת ממנו כל 'מעורבות', כמו שגיאה אנושית שמובילה ללחיצה על קישור, תמונה או פתיחת קובץ שמכילים קוד זדוני.

הטלאי שסיפקה אפל, כאמור, מיועד לסגור גם פגיעות נוספת שגם היא נחשפה על ידי סיטיזן לאב, כך שככל הנראה התגלתה בזמן בדיקת הפגיעות שכבר נוצלה בפועל.

התיקונים מיועדים למגוון מכשירי iPhone ו-iPad שאפל מכרה בשנים האחרונות, ואת הפירוט המלא כולל הסברים ניתן למצוא כאן.