אפל שחררה אמש (יום ב') עדכוני אבטחה דחופים למערכות ההפעלה של האייפון, האייפד, אפל ווטש והמק על מנת לתקן חולשת אבטחה חמורה. חוקרי מרכז המחקר Citizen Lab שבאוניברסיטת טורונטו טוענים כי חולשת האבטחה נוצלה על-ידי חברת הסייבר ההתקפי הישראלית NSO על מנת לפרוץ לטלפון של אקטיביסט סעודי. יש לכם מכשיר של אפל? מומלץ לעדכן בהקדם לגרסאות הבאות: באייפון ל-iOS 14.8, באייפד ל-iPadOS 14.8, באפל ווטש ל-watchOS 7.6.2 ובמחשב ל-macOS Big Sur 11.6.
עוד כתבות שיעניינו אתכם:
הטלפון של האזרח הסעודי, ששמו לא פורסם, הודבק בפברואר. מדובר במתקפה מתוחכמת מסוג Zero-Click, שמאפשרת להדביק את האייפון בכלי הריגול של NSO, פגסוס, ללא כל פעולה מצדו של בעל המכשיר. כל מה שהתוקפים צריכים לעשות הוא לשלוח באמצעות שירות המסרים המידיים iMessage קובץ PDF שמתחזה לקובץ GIF וכולל קוד זדוני. תוכנת פגסוס מאפשרת להשתלט על סמארטפונים מרחוק ולשלוף מהם קבצים, להפעיל את המצלמה ואת המיקרופון, לגשת למיקום המכשיר, לצפות באנשי הקשר ובלוח השנה וכן לעקוב אחרי ההתכתבויות באפליקציות המסרים ואחר הפעילות ברשתות החברתיות.
"מתקפות מהסוג הזה הן מתוחכמות מאוד, עולות מיליוני דולרים לפתח ולעתים קרובות יש להן חיי מדף קצרים, ומשתמשים בהם כדי לתקוף מטרות ספציפיות", אמר איוון קרסטיץ', מנהל מחלקת הנדסה וארכיטקטורת אבטחה באפל. "למרות שהמשמעות היא שלא מדובר באיום עבור הרוב הגדול של המשתמשים שלנו, אנחנו ממשיכים לעבוד כל העת כדי להגן על כל הלקוחות שלנו, ואנחנו מוסיפים עוד הגנות למכשירים ולמידע שלהם". לדברי ג'ון סקוט-רייטלון מ-Citizen Lab, "אפליקציות צ'אט פופולריות נמצאות בסיכון להפוך לנקודת התורפה של אבטחת מכשירים. האבטחה שלהן צריכה להיות בעדיפות עליונה". יש לציין שבניגוד ל-Citizen Lab, באפל לא מפנים אצבע מאשימה כלפי חברת NSO.
מ-NSO נמסר בתגובה: "אנחנו נמשיך לספק לסוכנויות מודיעין ואכיפת חוק ברחבי העולם טכנולוגיות מצילות חיים כי להיאבק בטרור ובפשע".
NSO, שהוקמה בשנת 2010, מוכרת כלי ריגול לסוכנויות מודיעין ואכיפת חוק ברחבי העולם בכפוף לקבלת רישיון פרטני מהאגף לייצוא ביטחוני במשרד הביטחון. עם זאת, בשנים האחרונות נטען שוב ושוב כי פגסוס, הכלי המרכזי שלה, משמש לריגול אחרי עיתונאים, פעילי זכויות אדם ומתנגדי משטר. NSO מצדה טוענת כי הלקוחות הם אלה שמפעילים את פגסוס, וכי היא מנתקת את הקשר עם לקוחות שהשתמשו בפגסוס לרעה. לפני כחודשיים פורסם תחקיר ענק על פעילות החברה במספר כלי תקשורת בעולם, שבמסגרתו נבדקו עשרות טלפונים שאליהם פרצה או ניסתה לפרוץ. התחקיר הוביל לביקורת חריפה על ממשלת ישראל, ש-NSO פועלת תחת חסותה, ולבסוף גם להקמת צוות ישראלי שאמור לבחון את פעילותה של החברה.
מבחינת אפל, מדובר במכה במוניטין של החברה שכבר שנים ממתגת את עצמה כמי ששומרת על האבטחה והמידע של משתמשיה יותר מאשר חברות אחרות. אלא שבפועל, פעם אחר פעם מתגלה כי NSO - וכנראה גם חברות סייבר אחרות - מצליחות לעקוף את מנגנוני האבטחה של ענקית הטכנולוגיה ולרגל את אחרי משתמשי אייפון. במקרה הזה, מדובר בעיתוי בעייתי במיוחד עבור אפל: הערב היא צפויה לחשוף את סדרת אייפון 13, אפל ווטש 7, הדור השלישי של אוזניות האיירפודס ואולי גם מכשירים נוספים.