דיווח: פרצת אבטחה בוואטסאפ שימשה את חברת NSO להחדרת תוכנת ריגול לטלפונים

הדיווח של "פייננשל טיימס" מבוסס על חשיפה של וואטסאפ עצמה, שגילתה כי תוקפים השתמשו בחולשה כדי להתקין תוכנת ריגול גם על מכשירי אייפון וגם על אנדרואיד • לפי דיווח של רויטרס, נראה כי וואטסאפ הפנתה היום את המקרה למשרד המשפטים האמריקאי

ווטסאפ / שאטרסטוק
ווטסאפ / שאטרסטוק

חולשת אבטחה בווטסאפ שימשה את חברת NSO הישראלית להחדרת תוכנת ריגול לטלפונים - כך פורסם ב"פייננשל טיימס". הדיווח מבוסס על חשיפה של ווטסאפ עצמה, שגילתה בתחילת החודש כי תוקפים היו מסוגלים להשתמש בחולשה כדי להתקין תוכנת ריגול גם על מכשירי אייפון וגם על מכשירי אנדרואיד באמצעות שירות השיחות של האפליקציה.

לפי הדיווח, הקוד היה מסוגל להתקין את עצמו על טלפונים כאשר בוצעה שיחה למכשיר - גם אם המשתמש לא ענה לשיחה. הפרצה תוקנה על ידי ווטסאפ, לאחר שהייתה פתוחה במשך שבועות, וסיכנה את כל 1.5 מיליארד משתמשי ווטסאפ בעולם. לפי מקור המצוטט ב"פייננשל טיימס", החקירה בווטסאפ נמצאת בשלב מוקדם מכדי להכריע כמה מכשירים נפגעו.

לפי דיווח של רויטרס, נראה כי וואטסאפ הפנתה היום (ג') את המקרה למשרד המשפטים האמריקאי. וואטסאפ אמנם לא ציינה כי מדובר במקרה בו מעורבת לכאורה NSO, אך דובר מטעם החברה צוטט ברויטרס ואמר כי נראה שפרצת אבטחה בשירות שלה הגיעה מחברה פרטית שעובדת בתחום הריגול, וכי המתקפה הייתה מתוחכמת ונשאה את כל הסימנים של "חברה פרטית שעובדת עם ממשלות וביון". בנוסף, היא עדכנה אמש את הרגולטור הממונה עליה מטעם האיחוד האירופי, ועדת ההגנה על מידע באירלנד (DPC), אודות "חולשת אבטחה חמורה".

החברה מסרה לרויטרס כי היא "מעודדת אנשים לעדכן לגרסה האחרונה ביותר של האפליקציה, ולשמור את מערכת ההפעלה של הטלפון הנייד שלהם מעודכנת, כדי להגן מפני פוטנציאל לניצול של פרצות ולמתקפות שעוצבו כדי לחשוף מידע שמאוחסן במכשירים הניידים".

מ-NSO נמסר: "בשום מקרה, NSO לא תהיה מעורבת בהפעלת המערכת או זיהוי יעדי מעקב, פעילות הנעשית אך ורק על ידי גופי מודיעין ואכיפת חוק. החברה פועלת על פי החוק ואיננה מפעילה את הטכנולוגיה בעצמה. הטכנולוגיה נמכרת אך ורק לגופי מודיעין ואכיפת חוק לאחר תהליך סינון קפדני, למטרה הבלעדית של חקירה ומניעה של פשע וטרור. החברה חוקרת כל טענה על ניצול לרעה של הטכנולוגיה שלה, ובמידת הצורך נוקטת בצעדים הנדרשים לרבות ניתוק המערכת".

ב"פייננשל טיימס" הובאו ציטוטים ממשקיע פוטנציאלי אשר נכח בחודש אפריל האחרון בפגישה שכללה מצגת למשקיעים של NSO. לפי אותו משקיע, באותו מפגש התרברבה NSO כי עדכוני האבטחה האחרונים מחברת אפל, שנועדו לשמור על המידע הפרטי של המשתמשים, לא נוגעים ל"חולשות המנוצלות על ידי פגסוס". למרות עדכוני התוכנה השנתיים של חברות כמו אפל, אמר נציג החברה למשתתפי הפגישה כי ל-NSO יש "רקורד מוכח" של זיהוי חולשות חדשות.

לדברי אותו המקור, בכירים ב-NSO טענו כי שימוש בשיחה בודדת שלא נענתה בווטסאפ מאפשר להם להחדיר את תוכנת הריגול שפיתחו, הידועה בשם פגסוס, שמסוגלת לגשת לכל המידע בטלפון של הקורבן, להפעיל את המיקרופון ולהקליט את סביבתו, וכן לבצע שיחות טלפון ללא ידיעתו.

עד היום, דיווחים אודות פגסוס חשפו כי התוכנה מותקנת על מכשירי הקורבנות כאשר אלה לוחצים על לינק שנשלח אליהם בהודעה באופן אקטיבי. פגסוס אמנם הסוותה את הקישור בהודעות מותאמות אישית לקורבנות, אך עדיין נדרשה מהם פעולה אקטיבית כדי שהתוכנה תוכל להיות מותקנת על מכשיריהם. העדכון המאפשר פריצה למכשיר באמצעות שיחת ווטסאפ - בין אם נענתה או לא - הוא העדכון הידוע האחרון לתוכנה, אשר נמצאת בשוק כבר עשור.

NSO ממשיכה להסתבך

NSO נוסדה ב-2010 על ידי שלו חוליו ועמרי לביא, והיא מייצרת מוצרי סייבר התקפי שונים. המוצר המוביל של החברה הוא תוכנת פגסוס, המסווגת ככלי ביטחוני, ולפי החברה הוא נועד לסייע לממשלות וארגוני ביון למנוע פעולות טרור. לפי חוקרים באוניברסיטת טורונטו שהתחקו אחר פגסוס, נעשה שימוש בתוכנה ב-45 מדינות, בהן בחריין, מרוקו, סעודיה ואיחוד האמירויות הערביות. לפי אותו המשקיע שנכח במצגת, מקורן של מחצית מהכנסות NSO במדינות המזרח התיכון.

לאורך השנים, הסתבכה החברה במספר פרשיות, במסגרתן נחשף כי התוכנה שימשה לריגול נגד עיתונאים ומתנגדי משטר במשטרים אפלים בעולם. אתמול פורסם כי ארגון אמנסטי העולמי עתר לבית המשפט המחוזי בתל אביב בבקשה לבטל את רישיון היצוא של החברה. למרות ש-NSO מכחישה כל מעורבות בריגול שמתבצע באמצעות התוכנה שלה, חוזים בין החברה ללקוחותיה שנחשפו בדיווחים על החברה לאורך השנים, מגלים כי NSO מספקת ללקוחותיה גם שירותי הדרכה, העברת נתונים וסיוע שוטף - ולא תוכנה בלבד.

כך, בתביעה המתנהלת בימים אלה נגד החברה בבית המשפט השלום בתל אביב, נטען כי "הנתבעות ממשיכות לגלות מעורבות אקטיבית בשלבים של העברת הנתונים, עיבוד הנתונים, הדרכה על הפעלת המערכת, וגם אספקת עדכונים ושדרוג למערכת, כפי שמובהר במפרט הטכני הנלווה לחוזה אחר בו התקשרו הנתבעות ועם גורמי ממשל במקסיקו".

"מדינות משקיעות הרבה כסף בסייבר התקפי"

"הסייבר ההתקפי הוא אחד התחומים המתוקצבים ביותר אצל מדינות בעולם. סייבר התקפי אומר שאני צריך למצוא חולשות בתוכנה או חומרה על מנת שאוכל להריץ קוד שייתן לי את מה שאני עושה, אז מתחיל להיווצר ביקוש אדיר למציאת החולשות הללו, וכשיש ביקוש נוצר שוק - וכיום יש שוק אדיר של איתור ומכירת חולשות", אומר עודד ואנונו, ראש מחקר חולשות מוצרים בצ'ק פוינט.

"במיפוי של כל הפרצות, מבינים שעולם הרשתות החברתיות כולל בתוכו כ-4 מיליארד איש. לכן, בתור גוף שמחפש חולשות, אתה מבין שזו הכניסה שלך - כי כולן משתמשים בהן כל הזמן. לא צריך לחכות שמישהו יהיה בתוך המשרד או במקום כזה או אחר, כי הן פתוחות ומתקשרות כל הזמן", מסביר ואנונו. כך למשל בינואר האחרון, החברה הצרפתית Zero Dium, המתמחה בקניית חולשות ומכירתן לחברות ביטחוניות, הודיעה כי היא מציעה סכום של מיליון דולר במזומן עבור חולשה בווטסאפ שמאפשרת החדרת קוד למכשירי המשתמשים.

"לפי התיאורים, החולשה הזו בווטסאפ איפשרה פתיחת דלת והרצת קוד בתוך הטלפון, והיא איפשרה לנצל חולשה נוספת שעוד לא זוהתה, שמאפשרת את התקנת פגסוס על המכשיר. בתיאוריה, יכולים להיות כמה תרחישים: יכול להיות ש-NSO מצאה את החולשה הזו והשתמשה בה, או שהם רכשו את החולשה הזו, או קיבלו מודיעין עליה", אומר ואנונו. "ווטסאפ אומרים שהם מצאו את החולשה הזו פנימית, אבל איך חיברו אותה ל-NSO? להערכתי, מישהו שהודבק נתן את המידע למספר גורמים ודרך מחקר מצאו את הקשר ל-NSO, בדומה למה שקרה עם העיתונאי הסעודי".