האקרים טוענים תוכנות ריגול על מכשירי אייפון עם תיקון מלא, ומראים שאף אחד לא בטוח

ישנה אמונה רווחת שלא רק שמכשירי אייפון בטוחים יותר מהאקרים מאשר מכשירי אנדרואיד, אלא שהם בטוחים לחלוטין ואינם ניתנים לפריצה.

כל שנה ב-Pwn2Own הרעיון הזה מוכח כשגוי, אבל הפריצות האלה מתרחשות בדרך כלל במסגרות מעבדה ולא בטבע.

עם זאת, חלה עלייה הולכת וגוברת בפריצות בחסות המדינה על רקע פוליטי, וההאקרים הללו מוכיחים יותר ויותר שאף סמארטפון אינו חסין מפני תוכנות זדוניות, ושרמה מסוימת של פרנויה נחוצה למשתמשי סמארטפונים בכל פלטפורמה.

בסיפור מתפתח, מספר רב של עיתונאים ופעילים נפרצו לאייפון שלהם על ידי תוכנת הריגול Pegasus, שפותחה על ידי ההאקרים הישראלים NSO Group.

Pegasus מועברת בהתקפה אפס קליק על ידי הודעת iMessage שקטה, וברגע שהיא נמצאת במקום היא יכולה לאסוף מיילים, רישומי שיחות, פוסטים ברשתות חברתיות, סיסמאות משתמשים, רשימות אנשי קשר, תמונות, סרטונים, הקלטות קול והיסטוריית גלישה. זה אפילו יכול להפעיל מצלמות או מיקרופונים, ולהאזין לשיחות והודעות קוליות. זה גם יכול לאסוף יומני מיקום של היכן משתמש היה וגם לקבוע היכן משתמש זה נמצא כעת, יחד עם נתונים המציינים אם האדם נייח או, אם נע, לאיזה כיוון.

ייתכן שקבוצת NSO פנתה ל-50,000 אנשים, לפי רשימה ששוחררה מהחברה. הפריצה יעילה אפילו מול מכשירי האייפון העדכניים ביותר, כאשר ככל הנראה האקרים מסוגלים לעקוף את עדכוני האבטחה האחרונים של אפל במהלך מספר שנים, ומאתגרים את המוניטין של החברה באבטחה ופרטיות.

חקירה של מעבדת האבטחה של אמנסטי של 67 טלפונים חכמים גילתה ש-23/34 מכשירי אייפון נדבקו בהצלחה, בעוד שרק 3/15 מכשירי אנדרואיד נדבקו (אם כי ראיות אולי הוסתרו טוב יותר במכשירים אלו).

איבן קרסטי, ראש הנדסת אבטחה וארכיטקטורה של אפל, הגן על מאמצי האבטחה של החברה שלו.

"אפל מגנה באופן חד משמעי מתקפות סייבר נגד עיתונאים, פעילי זכויות אדם ואחרים המבקשים להפוך את העולם למקום טוב יותר. במשך למעלה מעשור, אפל הובילה את התעשייה בחדשנות אבטחה, וכתוצאה מכך חוקרי אבטחה מסכימים שהאייפון הוא המכשיר הנייד הצרכני הבטוח והמאובטח ביותר בשוק", אמר בהצהרה. "התקפות כמו אלו המתוארות הן מתוחכמות ביותר, עולות מיליוני דולרים לפיתוח, לעתים קרובות יש להן חיי מדף קצרים, והן משמשות למטרת אנשים ספציפיים. אמנם זה אומר שהם לא מהווים איום על הרוב המכריע של המשתמשים שלנו, אבל אנחנו ממשיכים לעבוד ללא לאות כדי להגן על כל הלקוחות שלנו, ואנחנו כל הזמן מוסיפים הגנות חדשות למכשירים ולנתונים שלהם."

הדיווחים על פריצות למכשירי אייפון גדלו בשנים האחרונות, אולם חוקרי אבטחה גילו ראיות שתוקפים מצאו פגיעויות באפליקציות אייפון בשימוש נרחב כמו iMessage, Apple Music, Apple Photos, FaceTime ודפדפן Safari, כאשר iMessage משחק תפקיד ב-13 מתוך 23 חדירות מוצלחות של מכשירי אייפון.

"הם לא יכולים להפוך את iMessage לבטוחה", אמר מת'יו גרין, פרופסור לאבטחה וקריפטולוגיה באוניברסיטת ג'ונס הופקינס. "אני לא אומר שאי אפשר לתקן, אבל זה די גרוע."

"האייפון שלך, ומיליארד מכשירי אפל אחרים מחוץ לקופסה, מריצים אוטומטית תוכנה לא מאובטחת מפורסמת לתצוגה מקדימה של iMessages, בין אם אתה סומך על השולח ובין אם לא", אמר חוקר האבטחה ביל מרזקאק, עמית ב-Citizen Lab, מחקר מכון המבוסס בבית הספר מונק לעניינים גלובליים ומדיניות ציבורית של אוניברסיטת טורונטו. "כל סטודנט לאבטחת מחשבים 101 יכול לזהות את הפגם כאן."

אפל אומרת שהיא מגבילה מאוד את הקוד ש-iMessage יכול להפעיל במכשיר ושיש לה הגנות מפני תוכנות זדוניות שמגיעות בדרך זו. אפליקציות הודעות אחרות מבקשות אישור לפני הצגת הודעות מאנשים זרים, אך מכיוון ש-iMessage מחליף את ה-SMS, שהוא פרוטוקול פתוח, זה לא מעשי. אפל לא תגיב על הגבלת הודעות משולחים שאינם בפנקס הכתובות של אדם.

כמה חוקרי אבטחה אמרו שארגז החול של אפל למעשה הופך את האייפונים לא בטוחים יותר, מכיוון שלא ייתכן שאפליקציות סריקות תוכנות זדוניות של צד שלישי יסרוקו באופן מלא את האייפון. אולם מה שנכון בבירור הוא שהמציאות הוכיחה שלמרות השיווק שלהם, אפל הצליחה בעיקר להציע תחושת ביטחון מזויפת.

באמצעות וושינגטון פוסט