צילום: shutterstock
צילום: shutterstock

עדכון אבטחה דחוף לאייפון: "NSO ניצלה חולשה ב-iMessage"

חולשת אבטחה חמורה איפשרה לפרוץ למכשירים השונים של אפל, כולל אייפדים ומחשבים, ללא כל פעולה מצדו של הקורבן. אפל שחררה עדכוני אבטחה דחופים, והחוקרים שחשפו את החולשה טוענים כי NSO הישראלית ניצלה אותה כדי להשתיל את תוכנת פגסוס בטלפון של אקטיביסט סעודי

תמונה כללית
יובל מן | פורסם: 14/09/2021
אפל שחררה אמש (יום ב') עדכוני אבטחה דחופים למערכות ההפעלה של האייפון, האייפד, אפל ווטש והמק על מנת לתקן חולשת אבטחה חמורה. חוקרי מרכז המחקר Citizen Lab שבאוניברסיטת טורונטו טוענים כי חולשת האבטחה נוצלה על-ידי חברת הסייבר ההתקפי הישראלית NSO על מנת לפרוץ לטלפון של אקטיביסט סעודי. יש לכם מכשיר של אפל? מומלץ לעדכן בהקדם לגרסאות הבאות: באייפון ל-iOS 14.8, באייפד ל-iPadOS 14.8, באפל ווטש ל-watchOS 7.6.2 ובמחשב ל-macOS Big Sur 11.6.

עוד כתבות שיעניינו אתכם:

הטלפון של האזרח הסעודי, ששמו לא פורסם, הודבק בפברואר. מדובר במתקפה מתוחכמת מסוג Zero-Click, שמאפשרת להדביק את האייפון בכלי הריגול של NSO, פגסוס, ללא כל פעולה מצדו של בעל המכשיר. כל מה שהתוקפים צריכים לעשות הוא לשלוח באמצעות שירות המסרים המידיים iMessage קובץ PDF שמתחזה לקובץ GIF וכולל קוד זדוני. תוכנת פגסוס מאפשרת להשתלט על סמארטפונים מרחוק ולשלוף מהם קבצים, להפעיל את המצלמה ואת המיקרופון, לגשת למיקום המכשיר, לצפות באנשי הקשר ובלוח השנה וכן לעקוב אחרי ההתכתבויות באפליקציות המסרים ואחר הפעילות ברשתות החברתיות. "מתקפות מהסוג הזה הן מתוחכמות מאוד, עולות מיליוני דולרים לפתח ולעתים קרובות יש להן חיי מדף קצרים, ומשתמשים בהם כדי לתקוף מטרות ספציפיות", אמר איוון קרסטיץ', מנהל מחלקת הנדסה וארכיטקטורת אבטחה באפל. "למרות שהמשמעות היא שלא מדובר באיום עבור הרוב הגדול של המשתמשים שלנו, אנחנו ממשיכים לעבוד כל העת כדי להגן על כל הלקוחות שלנו, ואנחנו מוסיפים עוד הגנות למכשירים ולמידע שלהם". לדברי ג'ון סקוט-רייטלון מ-Citizen Lab, "אפליקציות צ'אט פופולריות נמצאות בסיכון להפוך לנקודת התורפה של אבטחת מכשירים. האבטחה שלהן צריכה להיות בעדיפות עליונה". יש לציין שבניגוד ל-Citizen Lab, באפל לא מפנים אצבע מאשימה כלפי חברת NSO.
צילום: אוראל כהןמשרדי NSO בהרצליה (צילום: אוראל כהן)
מ-NSO נמסר בתגובה: "אנחנו נמשיך לספק לסוכנויות מודיעין ואכיפת חוק ברחבי העולם טכנולוגיות מצילות חיים כי להיאבק בטרור ובפשע". NSO, שהוקמה בשנת 2010, מוכרת כלי ריגול לסוכנויות מודיעין ואכיפת חוק ברחבי העולם בכפוף לקבלת רישיון פרטני מהאגף לייצוא ביטחוני במשרד הביטחון. עם זאת, בשנים האחרונות נטען שוב ושוב כי פגסוס, הכלי המרכזי שלה, משמש לריגול אחרי עיתונאים, פעילי זכויות אדם ומתנגדי משטר. NSO מצדה טוענת כי הלקוחות הם אלה שמפעילים את פגסוס, וכי היא מנתקת את הקשר עם לקוחות שהשתמשו בפגסוס לרעה. לפני כחודשיים פורסם תחקיר ענק על פעילות החברה במספר כלי תקשורת בעולם, שבמסגרתו נבדקו עשרות טלפונים שאליהם פרצה או ניסתה לפרוץ. התחקיר הוביל לביקורת חריפה על ממשלת ישראל, ש-NSO פועלת תחת חסותה, ולבסוף גם להקמת צוות ישראלי שאמור לבחון את פעילותה של החברה. מבחינת אפל, מדובר במכה במוניטין של החברה שכבר שנים ממתגת את עצמה כמי ששומרת על האבטחה והמידע של משתמשיה יותר מאשר חברות אחרות. אלא שבפועל, פעם אחר פעם מתגלה כי NSO - וכנראה גם חברות סייבר אחרות - מצליחות לעקוף את מנגנוני האבטחה של ענקית הטכנולוגיה ולרגל את אחרי משתמשי אייפון. במקרה הזה, מדובר בעיתוי בעייתי במיוחד עבור אפל: הערב היא צפויה לחשוף את סדרת אייפון 13, אפל ווטש 7, הדור השלישי של אוזניות האיירפודס ואולי גם מכשירים נוספים.
22

תגובות

close-fullscreen-comment
הוספת תגובה
11.

חברות כאלו פוגעות במוניטין של המדינה (כאילו לא היה מספיק פגוע). צריך לפגוע בהן בחזרה.

10.

ולא למי שמשחרר ללקוחות שלו קוד לקוי.

comment-2-comment

9.

comment-2-comment

comment-2-comment

comment-2-comment

לא

comment-2-comment

comment-2-comment

אם האייפון ממשיך לעבוד, יש עליו פגסוס. אם התקלקל, כנראה היה בסדר.

comment-2-comment

8.

יש מקצוע כזה? איפה לומדים את זה?

7.

תמצא חברה ישראלית

comment-2-comment

איפה שיש בעיית אבטחה, אתה עלול למצוא מי שניצל אותה. וטוב שיש חברות ריגול גם ישראליות, שיודעות לנצל זאת עבור בטחון המדינה. והלוואי שירבו כמותה. כל חברה באשר היא, באחריותה לדאוג לאבטחת המידע והמתמשים,מי שמשאיר דלת אחורית לא נעולה, שלא יתפלא שיש מי שנכנס דרכה

6.

מזל ענק !!! שאבטחת אנדרואיד הרמטית מושלמת

comment-2-comment

5.

האם נפתחה?

4.

3.

אה, רגע, בעצם מה????

2.

תאמינו לי אם היח"צ של NSO היה יכול להיות מצחיק יותר... בכל אופן הבעלים של NSO כבר שילם את חובו לכדור הארץ - רואים את זה בעיניים שלו, הוא לא מסוגל לנוח.

comment-2-comment

אמנסטי בעצמם טענו שיש כמה עשרות "לוחמי חופש" מתוך רשימה של 50,000 מטרות. תעשה את החשבון בעצמך. גם אם מאמינים להם, הרי שהרוב המכריע של השימוש במערכות הוא לתכלית של לוחמה בטרור ובפשיעה.

1.

כל הזמן רוצים כותרת איפשהו

comment-2-comment

לכל התגובות
0