NSO ללקוחות: יש לנו יכולת "לקצור" מידע על כל אדם משרתי גוגל, פייסבוק ואמזון

אנשי NSO טוענים בפני לקוחות שהם יכולים להשיג מידע ששמור בשרתי ענקיות הטכנולוגיה. על פי הדיווח של הפייננשל טיימס, החברה הסבירה שהיא יכולה לקצור מידע של כל אדם משרתיהן של גוגל, פייסבוק, אמזון, אפל ומיקרוסופט. אנשי המכירות של NSO משתמשים ביכולת הזו כדרך למשוך לקוחות להשתמש בשירותיה. 

החברה הישראלית מפתחת כבר שנים רבות נוזקות ואמצעי פריצה וציתות לסמארטפונים ומחשבים לשימוש ממשלתי או ביטחוני. נוזקת פגסוס שלה נמצאה בשימוש של כל מיני סוכנויות ביון ולפעמים גם בתסריטי שימוש לא מאושרים באופן רשמי על ידי NSO עצמה.

אך עד היום לא היה ידוע שלחברה יש טכנולוגיה שמאפשרת לה לחדור לשרתי חברות הטכנולוגיה הגדולות בעולם. מדובר בהפתעה מכיוון שהמידע שמאוחסן בשרתיהן אמור להיות מאובטח באמצעים היעילים ביותר. אצל אפל למשל אחד מהיתרונות העיקריים שהחברה מתגאה בהם היא ההגנה שהיא מעניקה למידע של לקוחותיה. אם NSO הצליחה למצוא שיטה לעקוף את ההגנות של אפל - כנראה שהיא תיאלץ למצוא לעצמה סלוגן שיווקי חדש.

על פי הדיווח, גם שרתי ווטסאפ לא עמדו לאמצעי הציתות של NSO, והחברה מצאה פרצה שמאפשרת להחדיר דרך האפליקציה של פייסבוק נוזקה למכשירי המשתמשים ולקצור מהם מידע.

על פי הדיווחים הנוזקה העיקרית של NSO, פגסוס, זכתה ליכולות חדשות שמאפשרות לה להגיע למידע שמועבר לענן של חברות הטכנולוגיה דרך הסמארטפון של המשתמש. מבחינתה NSO דחתה את הטענה שהיא מקדמת כלי ריגול או ניטור בהיקף גדול, ואולם היא לא דחתה את הטענה שיש לה את היכולת הטכנולוגית, כפי שזו תוארה במסמכי המכירות שלה.

השיטה של NSO עובדת כך: הנוזקה מעתיקה את מפתחי ההזדהות המוצפנים של השירותים כגון גוגל דרייב או iCloud. כך ניתן להשתמש בהם במחשב או בהתקן נפרד כדי לדמות את המכשיר של קורבן הציתות. כך מתאפשרת למרגלים גישה ישירה לחשבונות הענן שמשמשים לגיבוי הסמארטפון הנגוע. השיטה עובדת בכל מכשיר עליו ניתן להתקין את נוזקת פגסוס, אייפונים ומכשירי אנדרואיד חדשים כאחד.

הגישה לענן שמשמש לגיבוי המכשירים גם נותן ל-NSO נקודת גישה למידע פריבילגי שלא ניתן להגיע אליו רק מציתות למכשיר הטלפון. שירותי הגיבוי בענן משמשים פעמים רבות גם לאחסון של מידע מאפליקציות צד-שלישי, כמו למשל ווטסאפ שמשתמשת בגוגל דרייב לגיבוי הצ'טים במקום בשרתי פייסבוק. התוצאה היא שאם יש גישה לגוגל דרייב, ניתן גם למשוך את כל היסטוריית הצ'טים מווטסאפ, גם כאלה שנמחקו מהמכשיר של המשתמש.

עלות השימוש בשירות מגיעה כנראה למיליוני דולרים ולא ברור היכן התפקיד של NSO מסתיים, האם במכירה של רישיון השימוש, תפעול הנוזקה עבור לקוח לא מנוסה או רק בתמיכה טכנית נקודתית. כך או כך, מדובר בפרשיה מדאיגה ובעיקר כזאת שחושפת כי שיטות האבטחה וההצפנה המקובלות בשוק כיום כנראה פחות מאובטחות משחשבו בעבר. צוותי האבטחה של כל חברות הטכנולוגיה כנראה ייאלצו לעבוד כעת שעות נוספות כדי למצוא את הפרצות ולחסום אותן.

מצד חברות הטכנולוגיה: אמזון אמרה שלא מצאה שום עדות או ראיה לפריצה למערכות שלה ושהיא "בודקת את הנושא"; פייסבוק מסרה שהיא בודקת את הטענות; מיקרוסופט מסרה שהיא מפתחת בכל עת אמצעים חדשים כדי להגן על לקוחותיה ואפל טוענת שמערכות ההפעלה שלה הן ה"בטוחות בעולם" ושהיא לא מאמינה שהנוזקה "היקרה מאוד לתפעול הזו" מהווה איום ללקוחות מכיוון שהפעלתה עולה כסף רב. מגוגל לא נמסרה תגובה.

NSO מצידה דחתה את הטענה. היא מסרה שהיא “לא מספקת או מוכרת כל סוג שהוא של אמצעי פריצה, או אמצעי לניטור וציתות לשירותי, אפליקציות או תשתיות מחשוב ענן". עם זאת, החברה נמצאת כבר מסובכת במספר תביעות משפטיות נגדה על כך שאיפשרה לנוזקות שלה ליפול בידי מפעילים או לקוחות חסרי מצפון. גם משרד המשפטים האמריקאי פתח בחקירה שקשורה לנוזקה שאפשרה לתקוף את ווטסאפ.

לא ברור כמה בעלי סמארטפונים זכו להפוך למטרות של הטכנולוגיה הזו. מספר המשתמשים שהיו יכולים ליפול קורבן לשיטה אינו ידוע. עם זאת, NSO גם חשפה את השיטה שמונעת את הגישה של הנוזקה לחשבונות הגיבוי - פשוט להחליף את הסיסמה של האפליקציה ולחסום את אפשרויות הגישה האוטומטית. זו למעשה הופכת את אסימון ההזדהות שהנוזקה גונבת לחסר ערך מכיוון שהוא לא יודע לעדכן את הסיסמה מרחוק.

‏NSO מסרה כי בתגובה כי הדיווח של פייננשל טיימס הוא שגוי. "מוצרי NSO אינם מספקים את סוג יכולות האיסוף וגישה לאפלקציות, שירותי או תשתיות ענן כפי שנטען בכתבה. פושעים וטרוריסטים מתוחכמים בצורה הולכת וגוברת מנצלים טכנולוגיות מוצפנות כדי לתכנן ולהסתיר את פשעיהם, מבלי שסוכנויות מודיעין ואכיפת חוק יהיו מודעות לכך תוך סיכון בטחון הציבור והבטחון הלאומי. מוצרי היירוט החוקיים של NSO תוכננו להתמודד עם אתגר זה".

עוד ציינה החברה כי "המוצרים שלנו ניתנים ברישיון ובהיקף מצומצם לסוכנויות מודיעין ואכיפת חוק ממשלתיות לגיטימיות עבור מטרה יחידה: מניעת או חקירת פשעים חמורים, כולל טרור".