סלברייט רמזה שהצליחה לפרוץ את מערכת ההצפנה של סיגנל וגרמה לסערה

סיגנל לא זוכה לפופולריות כמו ווטסאפ או לתשומת לב תקשורתית כמו טלגרם, אך היא נחשבת לכלי התקשורת המועדף בקרב יודעי דבר שמבקשים לתקשר זה עם זה בחשאיות מרבית (אדוארד סנודן עצמו העיד בעבר שהוא משתמש בה מדי יום). היא מנוהלת על ידי גוף ללא מטרות רווח, שתוקצב בסכום של 50 מיליון דולר על ידי מייסד ווטסאפ בריאן אקטון, במין ניסיון לפצות על מכירת האפליקציה לפייסבוק.

לכן, פוסט שסלברייט פרסמה החודש בבלוג הרשמי שלה עורר לא מעט חששות בקרב משתמשי סיגנל. תחת הכותרת "הפתרון החדש של סלברייט לפענוח אפליקציית סיגנל" כתבה החברה: "פענוח הודעות וקבצים שנשלחו עם סיגנל היה בלתי-אפשרי... עד עכשיו". הפוסט, ששונה מאז הפרסום אך תוכנו המקורי נשמר הודות לשירות Internet Archive, פירט את הדרך שבה הצליחה החברה "לפצח את הקוד", כהגדרתה.

הפוסט שימש כבסיס לדיווחים חדשותיים בכלי תקשורת מובילים בישראל ובעולם, כמו ה-BBC שכותרת ידיעה שפרסם בנושא גרסה שסלברייט מתהדרת בפיצוח ההצפנה של סיגנל אלו עוררו חששות בקרב משתמשים שהשיחות שלהם באפליקציה אינן מוגנות עוד ושניתן לגשת אליהן בקלות. ואולם, מומחים שמכירים את התחום היטב ובחנו את טענות החברה הסבירו שהדיווחים אינם מדויקים, שההישג של סלברייט מינורי במקרה הטוב, ושמשתמשי סיגנל לא צריכים לחשוש לחשאיות השיחות שלהם.

טלפון נעול | צילום: שאטרסטוק

"יש חוסר הבנה שלפיו סלברייט הצליחה ליירט הודעות סיגנל", אמר ל"כלכליסט" ג'ון סקוט-ריילטון, חוקר בכיר בכון סיטיזן לאב של אוניברסיטת טורנטו שמתמחה בניטור הפעילות של חברות סייבר התקפי (וידוע בעיקר במחקריו על NSO). "זה שגוי. סלברייט פרסמה פוסט, שמראה שברגע שהם מחזקים ביד טלפון אנדרואיד (לא נעול) הם יכולים לגשת ללוגי השיחה על המכשיר. זה הישג צנוע, אך מכיוון שהטלפון היה ביד שלהם הם יכלו לעשות את אותו הדבר פשוט באמצעות כניסה לאפליקציה. ואז הגיעו השמועות והדיווח סנסציוני. עכשיו אנשים חוששים שהם צריכים למחוק את אפליקציית סיגנל. אבל הם לא - סיגנל מאובטחת".

יוצר סיגנל מתיו רוזנפלד (שפועל תחת הכינוי מוקסי מרלינספייק) צייץ בטוויטר: "פורסם מאמר על 'טכניקות מתקדמות' שסלברייט השתמשה בהן כדי לפענח הודעת סיגנל על מכשיר אנדרואיד לא נעול. הם יכלו פשוט לפתוח את האפליקציה ולהסתכל על ההודעות. כל המאמר הזה חובבני, ואני מניח שזו הסיבה שהם שינו אותו". טענות אלו גם מתחברות לאופן הפעילות של סלברייט, שמפתחת מוצרים שמאפשרים לסוכנויות אכיפת החוק להוציא מידע רק ממכשירי מובייל לא נעולים אותם הםמחזיקים פיסית בידיהם, ולא עוסקת כלל בפיתוח מוצרים הקשורים לשבירה גורפת של הצפנה בשירותים מקוונים והוצאת מידע מהם.

ואכן, בעקבות הסערה שהתעוררה שינתה סלברייט את הפוסט. עתה, הכותרת שלו מכריזה "סיוע לכוחות אכיפת חוק לגשת באופן חוקי לאפליקציית סיגנל", ופרט לחומר רקע על סיגנל, הטענה היחידה שעולה בו היא שכלי של החברה בשם Cellebrite Physical Analyzer "מאפשר גישה חוקית למידע בסיגנל".

אף שהפוסט המקורי של סלברייט היה מטעה בצורה שבה נוסח, לדברי סקוט-ריילטון האשמה מונחת לפתחם של גופי החדשות שדיווחו ללא בדיקה מספקת: "קהל רחב מקבל החלטות לגבי התנהלות בטוחה ברשת על סמך מה שהוא קורא במקורות חדשות אמינים. למקורות אלו יש חובה אתית לדווח בזהירות ובדיוק. הגיע הזמן להכיר בכך שלכתבי אבטחת מידע יש אחריות שמקבילה לזו של כתבי בריאות. יהיו השלכות אם נגיד לאנשים דברים שגויים לגבי איך להגן על עצמם בסביבה דיגיטלית".

מסלברייט נמסר בתגובה: "הפוסט בבלוג החברה לא גילה חולשות שניתן לנצל. הוא לא לימד אף אחד כיצד 'להשיג גישה לסיגנל'. המציאות הרבה פחות סקסית או מסקרנת. המציאות היא ששום דבר רגיש במיוחד לא 'נחשף' בבלוג. עובדה ידועה היא שניתן לחלץ הודעות סיגנל באמצעות מספר שיטות, כולל גישה למערכת הקבצים המלאה במכשירי iOS. הבלוג התייחס לזמינות של טכניקה המחליפה דיפדוף ידני של הודעות ותיאר כיצד להעביר הודעות של סיגנל, שכבר ניתנות לקריאה על ידי איש אכיפת חוק המחזיק פיסית בטלפון שאינו נעול, למחשב בפורמט דיגיטלי כדי לתמוך בתהליך של חקירה פלילית וליצור דוחות שקבילים בבית המשפט ועומדים בקנה מידה חוקי. הטכניקה אינה נחשבת סודית או רגישה; הכותרות היו פרובוקטיביות יותר מהמציאות. הודעה המקורית הוסרה מהבלוג משום שהיא הייתה מטעה ולא מדויקת. זו הייתה טיוטת עבודה פנימית שהוצגה על ידי עובד שלא היה מורשה לפרסם אותה, וזו הסיבה שתיקנו את ההודעה המקורית".