פיש-גייט: הדג הישראלי שסיבך את לנובו

לא זו הדרך שבה קיוותה סופרפיש לקבל תשומת לב בינלאומית: החברה הישראלית עמדה בימים האחרונים במרכזן של האשמות מצד חוקרי אבטחה כלפי לנובו הסינית, יצרנית המחשבים הגדולה בעולם. תוכנת סופרפיש הותקנה בחלק ממחשבי ווינדוס של לנובו שיוצרו בין ספטמבר לדצמבר 2014, אשר חלקם עדיין נמכרים.

היא חשפה אותם לפרצת אבטחה שאפשרה באופן פוטנציאלי להאקרים לעקוב אחר הרגלי גלישה, להשיג פרטים רגישים ואף פיננסיים על הגולשים ולהפנות אותם לאתרים מסוכנים. המשרד האמריקאי לביטחון פנים הצטרף לרשימת המזהירים, לנובו הכחישה תחילה ובהמשך הודתה בטעות החמורה וסיפקה כלי חינמי להסרת סופרפיש (שלא ניתנת למחיקה פשוטה), והפרשה זכתה לסיקור נרחב בעיתונות הטכנולוגיה העולמית.

עובדי סופרפיש

העובדה שדווקא סופרפיש עומדת במרכז פרשת כזו מפתיעה למדי: על הנייר מדובר בכלל בחברת תוכנה, שפיתחה אלגוריתם לאיתור תמונות הדומות זו לזו ברשת. היא אמנם מספקת את שירותיה לחברות המשתילות פרסומות באתרים שונים, אך לא אמורה לעשות זאת בעצמה. בתעשית ההייטק מכנים גופים כאלה "חברות פלטפורמה": לנובו נעזרה נראה בטכנולוגיה של סופרפיש כדי לשתול פרסומות שהתבססו על חיפושים שביצע המשתמש באתרים כמו גוגל ואמזון, ולהתחלק ברווחים עם החברה הישראלית. מנכ"ל סופרפיש עדי פנחס הפנה אתמול את האש לעבר קומודיה, חברה כחול לבן נוספת שעמדה מאחורי מנגנון ההזרקות, ואמר: "אנו מספקים כלי חיפוש שניתן לשלב בתוכנות אחרות. לנובו הצטרכה תוכנת חיפוש שכזו למחשביה, וקומודיה סיפקה לה זאת". סופרפיש הוסיפה כי בדקה יחד עם לנובו את השילוב בין תוכנת Visual Discovery שלה לקומודיה, שבו לא נמצאו פרצות אבטחה מכל סוג שהוא.

מקרה חריג

סופרפיש לא יכולה לרחוץ לחלוטין בניקיון כפיה. אם אכן האשמה היא בקומודיה, כיצד סמכה סופרפיש על חברה שמתגאה ברשת שביכולתה "להשתיל פרסומות בדפי אינטרנט מאובטחים ולא מאובטחים ללא שימוש בתוסף תוכנה או בסרגל כלים", וכן "לפצח תקשורת מאובטחת"? בנוסף, בכל פעם שגולשים לאתר מאובטח (HTTPS), כמו זה של בנק או חברת אשראי, תעודת האבטחה בדפדפן המורה למשתמש כי מדובר באתר בטוח נסקרת בידי סופרפיש ולא בידי חברה המתמחה באבטחת מידע. ממתי סופרפיש מתמחית באבטחת מידע ומסוגלת לאשר כי הגלישה באתר כזה או אחר היא בטוחה? ההתנהלות של החברה, לכל הפחות, מעוררת תמיהה.

ואולם, ההתנהלות המתמיהה באמת בפרשה היא של לנובו. תוכנות כמו של סופרפיש, גם בגרסתן הרכה שלא כוללת הזרקת פרסומות לאתרים מאובטחים, דורשת את אישורו המפורש של המשתמש, ולשתול אותן מראש במחשבים הוא מהלך חריג. לנובו, מן הסתם, לא התכוונה ליצור סיכון אבטחה, אלא לאתר עבור הגולשים דילים זולים באתרים אחרים. אם תגלשו לאמזון כדי לקנות ספר, התוסף של סופרפיש יציג פרסומות שיפנו אתכם לאתרים שבהם הוא נמכר במחיר נמוך יותר. שירותים כגון אלה, רצויים או בלתי רצויים (לא מעט לקוחות התלוננו ברשת שסופרפיש פוגעת בנוחות הגלישה), לרוב מגיעים אל מחשב המשתמש רק כאשר הוא מוריד תוכנה כלשהי מהרשת.

נכון, כאשר הלקוח קורא לראשונה את תנאי השימוש במחשב של לנובו, הוא נדרש לסמן כי הוא מסכים שסופרפיש תציע לו דילים טובים יותר, אך מי טורח לאשר תוכנות שמותקנות כבר על המחשב בהפעלה הראשונית? לרוב המשתמשים סומכים על יצרנית המחשבים שלהם, במיוחד אם היא גדולה ומסודרת כמו לנובו, שתתקין להם תוכנות בטוחות ושימושיות ותימנע מספאם.

טאבלט יוגה 2 פרו של לנובו

וכאן נכנסת לתמונה חברה ישראלית נוספת: ביוני האחרון חתמה לנובו על הסכם להתקנת תוכנה מבית פריון על מחשביה. פריון ידועה כחברת סרגלי כלים המתפרנסת מפיתוח תוכנות המשנות את ממשק הדפדפן, בין שמדובר בדף הבית ובין שבברירת המחדל של מנוע החיפוש. לנובו לקחה את פריון דווקא לצד של ה"טובים", ונעזרה בה כדי לפתח תוכנה שחוסמת הטרדות כאלה. "נמנע מתוכנות צד שלישי לשנות את הדפדפן בברירת המחדל ואת הגדרות החיפוש", מסרה פריון בקיץ האחרון על התוכנה שהתקינו בלנובו, והוסיפה כי "הפתרון שלנו חוסם ניסיונות להתקין מוצרים היכולים לפגוע בביצועים". האבסורד הוא שגם פריון, המגיעה כברירת מחדל עם מחשבי לנובו, לא סימנה את סופרפיש כפוגענית - כיוון שזו קיבלה מלכתחילה את אישורי האבטחה של הענקית הסינית.

מי ישמור מהשומרים

סופרפיש וקומודיה אינן היחידות שמשתילות פרסומות באתרים מבלי לבקש מהם רשות, אם כי רובן המכריע מתרחקות מאתרים מאובטחים. חברת הסייבר נמוגו מעריכה כי 30% מהמחשבים האישיים הפרטיים נגועים בתוכנות פרסום זדוניות, שלא רק משתילות פרסומות אלא גם מנטרות את התעבורה בין המשתמש לאתר שבו הוא גולש. נמוגו גם מעריכה שכשליש מהחברות הללו הן ישראליות. ואולם, לא ידוע על מקרים שבהם חברות אלה יוצרות סכנות אבטחה, והביקורת עליהן מתרכזת בפגיעה בחוויית הגלישה ובהצגת פרסומות בדרכים מעיקות.

חברות אלה משכנעות את המשתמש להוריד אפליקציות שיש להן ערך עבורו: תוכנת אנטי־וירוס, תוכנת מילים לשירים ביוטיוב, תוספי השוואת מחירים ועוד. כשהתקנתן מאושרת, הדפדפן הופך למגרש המשחקים שלהן: ברוב המקרים המשתמש נחשף לכמות גדולה יותר של פרסומות, וחלק מהתוכנות אף אוספות עליו נתונים דמוגרפיים לצורכי פילוח הפרסום, אך מבלי לסכן את ההתקשרויות המאובטחות שלו כמו במקרה הנוכחי.

החברות הללו פועלות בתחום אפור. חלקן עומדות מאחורי תוכנות אנטי־וירוס מרכזיות, שביד אחת מגנות על המשתמש ובאחרת פוגעות בחוויית הגלישה שלו. גם חברות תקשורת הצטרפו לשוק הבעייתי והרווחי הזה: כמה מפעילות סלולר אמריקאיות משתילות פרסומות על גבי ממשק המשתמש. גם בתרגילים כאלה, לפי הדיווחים, מעורבות חברות ישראליות.

ואולם, החטא הקדמון בתחום הוא של גוגל. ענקית החיפוש היתה זו שנהנתה יותר מכולם מחיזוק מעמדה בנתח החיפוש באמצעות סרגלי הכלים, דוגמת זה של קונדואיט. סרגל הכלים, בן דודו של תוסף השתלת הפרסומות, הפנה משתמשים בסיטונות לגוגל על חשבון המתחרות, עד שענקית החיפוש הבינה שהגולשים יגיעו אליה בכל מקרה ופנתה נגד התחום. בשנתיים האחרונות היא הכריזה מלחמה על סרגלי הכלים, חסמה אותם בדפדפן כרום ואסרה על התקנת תוספים המבצעים שינויים בממשק המשתמש. הדבר אמנם שיפר את תדמיתה והפך אותה ל"שריף" של תעשיית התוכנה, אך העביר את אלופי השתלת הפרסומות מהדפדפנים אל הקרביים של המחשב האישי. פרשת לנובו מוכיחה שהשתלות כאלה לא רק מציקות, אלא גם עלולות להיות מסוכנות מאוד.