צריך להפיל את תעשיית המעקב כשירות

הגענו שוב: דוגמה נוספת למעקב ממשלתי הכולל סמארטפונים של אפל וגוגל צצה, והיא מראה עד כמה מתוחכמות התקפות הנתמכות על ידי הממשלה ומדוע יש הצדקה להשאיר פלטפורמות ניידות סגורות לחלוטין.

מה שקרה?

אני לא מתכוון להתמקד יותר מדי בחדשות, אבל בקצרה היא כדלקמן:

• לקבוצת ניתוח האיומים של גוגל יש פרסם מידע החושף את הפריצה.
• חברת המעקב האיטלקית RCS Labs יצרה את המתקפה.
• המתקפה שימשה באיטליה ובקזחסטן, ואולי במקומות אחרים.
• כמה דורות של המתקפה מופעלים בעזרת ספקי שירותי אינטרנט.
• ב-iOS, התוקפים ניצלו לרעה את כלי ההסמכה הארגוניים של אפל המאפשרים פריסת אפליקציות פנימית.
• נעשה שימוש בסביבות תשע התקפות שונות.

המתקפה פועלת כך: למטרה נשלח קישור ייחודי שמטרתו להערים עליהם הורדה והתקנה של אפליקציה זדונית. במקרים מסוימים, ה-spooks עבדו עם ספק שירותי אינטרנט כדי להשבית את קישוריות הנתונים כדי להערים על יעדים להוריד את האפליקציה כדי לשחזר את החיבור הזה.

ניצול יום האפס המשמש בהתקפות אלו תוקנו על ידי אפל. זה הזהיר בעבר ששחקנים גרועים היו שימוש לרעה במערכות שלה שמאפשרות לעסקים להפיץ apps בבית. הגילויים מתחברים לחדשות האחרונות של Lookout Labs על תוכנת ריגול אנדרואיד ברמה ארגונית בשם Hermit.

מה בסיכון?

הבעיה כאן היא שטכנולוגיות מעקב כגון אלה הועברו למסחר. המשמעות היא שיכולות שהיסטורית היו זמינות רק לממשלות נמצאות בשימוש גם על ידי קבלנים פרטיים. וזה מייצג סיכון, שכן כלים חסויים ביותר עלולים להיחשף, לנצל, להנדס לאחור ולהשתמש לרעה.

As גוגל אמרה: "הממצאים שלנו מדגישים את המידה שבה ספקי מעקב מסחריים הגדילו את היכולות שהשתמשו בעבר רק על ידי ממשלות בעלות המומחיות הטכנית לפיתוח והפעלת ניצולים. זה הופך את האינטרנט לפחות בטוח ומאיים על האמון שבו תלויים המשתמשים".

לא רק זה, אלא שחברות המעקב הפרטיות הללו מאפשרות להתרבות של כלי פריצה מסוכנים, תוך מתן מתקני חטטנות היי-טק אלו לממשלות - שנראה שחלקן נהנות לרגל אחרי מתנגדי משטר, עיתונאים, יריבים פוליטיים ועובדי זכויות אדם. 

סכנה גדולה עוד יותר היא שגוגל כבר עוקבת אחרי לפחות 30 יצרני תוכנות ריגול, מה שמרמז שתעשיית המעקב המסחרי כשירות חזקה. זה גם אומר שעכשיו זה אפשרי תיאורטית אפילו לממשלה הכי פחות אמינה לגשת לכלים למטרות כאלה - ובהינתן שכל כך הרבה מהאיומים שזוהו עושים שימוש בניצולים שזוהו על ידי פושעי סייבר, נראה הגיוני לחשוב שזהו עוד זרם הכנסה שמעודד זדוניות מחקר.

מהם הסיכונים?

הבעיה: הקשרים ההדוקים הללו בין ספקי מעקב מופרט ופשעי סייבר לא תמיד יפעלו בכיוון אחד. המנצלים האלה - שלפחות חלקם נראים קשים מספיק כדי לגלות שרק לממשלות יהיו המשאבים לעשות זאת - בסופו של דבר ידלפו.

ובעוד שאפל, גוגל וכל השאר נשארים מחויבים למשחק חתול ועכבר כדי למנוע פשיעה כזו, לסגור ניצולים היכן שהם יכולים, הסיכון הוא שכל פגם אבטחה של דלת אחורית או מכשיר יחליק בסופו של דבר לתוך הפרסומת שווקים, שמהם הוא יגיע לפושעים.

הרגולטור של אירופה להגנת מידע הזהיר: "גילויים שהתפרסמו על תוכנת הריגול פגסוס העלו שאלות חמורות מאוד לגבי ההשפעה האפשרית של כלי ריגול מודרניים על זכויות יסוד, ובמיוחד על הזכויות לפרטיות והגנת נתונים".

זה לא אומר שאין סיבות לגיטימיות למחקר אבטחה. פגמים קיימים בכל מערכת, ואנחנו צריכים שאנשים יהיו בעלי מוטיבציה לזהות אותם; עדכוני אבטחה לא היו קיימים כלל ללא המאמצים של חוקרי אבטחה מסוגים שונים. תפוח עץ משלם עד שש ספרות לחוקרים המזהים נקודות תורפה במערכות שלה.

מה קורה עכשיו?

המפקח על הגנת המידע של האיחוד האירופי קרא לאסור על השימוש בתוכנת פגסוס הידועה לשמצה של NSO Group מוקדם יותר השנה. למעשה, השיחה המשיכה רחוק יותר, וחיפשה "איסור על פיתוח ופריסה של תוכנות ריגול עם היכולת של פגסוס".

קבוצת NSO היא כעת ככל הנראה למכירה.

אל האני אמר גם האיחוד האירופי שבמקרה שבו נעשה שימוש בניצולים כאלה במצבים חריגים, שימוש כזה צריך לחייב חברות כמו NSO כפופות עצמן לפיקוח רגולטורי. כחלק מכך, עליהם לכבד את חוקי האיחוד האירופי, ביקורת שיפוטית, זכויות פרוצדורליות פליליות ולהסכים לא ייבוא ​​של מודיעין בלתי חוקי, לא ניצול פוליטי לרעה של הביטחון הלאומי ולתמוך בחברה האזרחית.

במילים אחרות, החברות הללו צריכות להתאים.

מה אתה יכול לעשות

בעקבות גילויים על NSO Group בשנה שעברה, אפל פרסם את ההמלצות הבאות לשיטות עבודה מומלצות כדי לסייע בהפחתת סיכונים כאלה.

• עדכן מכשירים לתוכנה העדכנית ביותר, הכוללת את תיקוני האבטחה האחרונים.
• הגן על מכשירים באמצעות קוד גישה.
• השתמש באימות דו-גורמי ובסיסמה חזקה עבור Apple ID.
• התקן apps מ App Store.
• השתמש בסיסמאות חזקות וייחודיות באינטרנט.
• אל תלחץ על קישורים או קבצים מצורפים משולחים לא ידועים.

אנא עקוב אחרי טויטר, או הצטרף אליי הבר והגריל של AppleHolic ו דיונים על אפל קבוצות ב-MeWe.