כל המידע מוקלט ונשמר: שערוריות המעקב של עולם הטכנולוגיה
חוקר אבטחה אמריקאי חשף תוכנת מעקב שמותקנת ב-140 מיליון סמארטפונים בעולם, מקליטה כל הקלדה, ומעבירה את המידע אל חברות תקשורת. במקביל פירסם ארגון ויקיליקס מסמכים שמתעדים תעשייה שלמה של ריגול אחרי כל שיחת טלפון, הודעת סמס או אימייל. הפרטיות מעולם לא נראתה רחוקה יותר
פרשת פרטיות חדשה משתוללת בימים אלו בארה"ב ומציבה בצל את השערוריות הקודמות שחשפו את המעקב אחר המיקום של משתמשים. מעורבות בה כמעט כל יצרניות המכשירים הגדולים, מרבית ספקיות הסלולר החשובות, וחברה אחת, Carrier IQ - שעד לפני כמה ימים היתה אלמונית לחלוטין, אבל כיום נחשבת בעיני רבים ל"שטן הגדול" של עולם הטכנולוגיה.
על פי חוקר אבטחה שחשף את הפרשה, המידע שכביכול נאסף ומשודר כולל כמעט כל פעולה שמבוצעת על הסמארטפון - מהודעות טקסט שנשלחו ועד אתרים שבהם גלש המשתמש.
מפתחת התוכנה הכחישה וחזרה בה
ראשית הפרשה לפני כשבועיים, כשחוקר אבטחה בשם טרבור אקהרט גילה שעל מגוון סמארטפונים מותקנת אפליקציה חשודה בשם Carrier IQ. אפליקציה זו, שפעלה על המכשיר מבלי שהמשתמשים התקינו אותה או ידעו על קיומה, מסוגלת לטענת החוקר לנטר את כל פעילות המשתמש בסמארטפון - עמודי אינטרנט, הודעות טקסט שנשלחו, מקשים שהוקשו ואף את מיקום המכשיר - ולשלוח את המידע שנאסף בחשאי לגורם שלישי.
האפליקציה נמצאה על מכשירים של HTC, סמסונג, נוקיה, מוטורולה וגם בבלקברי ובאייפון - אשר נמכרים על ידי חברות הסלולר בארה"ב. יצרנית התוכנה ניסתה תחילה להדוף את ההאשמות וטענה שמטרת התוכנה היא שיפור חוויית המשתמש, כאשר היא עוקבת רק אחרי מידע כמו שיחות שנקטעו. על פי אתר החברה, התוכנה מותקנת על יותר מ-140 מיליון מכשירים בעולם.
ואולם, מסרטון שהפיץ אקהרט עולה כי טענות Carrier IQ אינן אמינות, בלשון המעטה. על פי הסרטון, האפליקציה מתעדת פעולות רבות שמבצע המשתמש ושולחת אותו לשרתים שלה, פעמים רבות עוד לפני שהושלמה הפעולה. כך למשל, כאשר בעל הטלפון מחייג מספר, הספרות שהוקלדו נשלחו אל שרתי החברה עוד לפני ביצוע השיחה.
בעקבות החשיפה, בסוף השבוע האחרון עלו לחנות האפליקציות של גוגל, אנדרואיד מרקט, מספר יישומים שנועדו לבדוק האם תוכנת Carrier IQ מותקנת על המכשיר. בין האפליקציות ניתן גם למצוא כאלו שהוקמו על ידי חברות אבטחה מוכרות כגון ביטדפנדר. רמת הדיוק של האפליקציות עדיין מוטלת בספק. להורדת אפליקציית Carrier IQ detector לחצו כאן.
הספקיות בארה"ב מודות
השאלה הגדולה היתה איך בדיוק הגיעה התוכנה הזדונית אל הסמארטפונים. גוגל, יצרנית מערכת ההפעלה אנדרואיד, שרבים מהמכשירים שבהם נמצאה תוכנת המעקב הריצו אותה, הכחישה מעורבות בעניין והפנתה את האחריות לגורמים אחרים. גם מיקרוסופט, מפתחת מערכת ההפעלה ווינדוס פון, ו־HP, בעלת מערכת webOS, הכחישו כל קשר לפרשה זו.
בקרב היצרניות, מוטורולה סירבה להגיב. נוקיה ו־RIM מיהרו לצאת בהכחשה גורפת, וטענו שהן לא מתקינות את התוכנה על המכשירים, אף שאקהרט ואחרים הדגימו שהאפליקציה כן רצה על מכשיריהן. אפל הפתיעה, ובמקום השתיקה הרגילה שלה הודתה בעקיפין בקשר עבר עם Carrier IQ. "הפסקנו לתמוך בתוכנה ב־iOS 5 ברוב המוצרים שלנו, ונסיר אותה לחלוטין בעדכוני תוכנה עתידיים", אמרה החברה לבלוג All Things D של "הוול סטריט ג'ורנל".
התגובה המפתיעה ביותר הגיעה מסמסונג ו־HTC, שתיים מיצרניות הסמארטפונים החשובות ביותר בעולם כיום. החברות הודו שהן מתקינות את תוכנת הריגול במכשיריהן, אבל רק מכיוון שחברות הסלולר בארה"ב דרשו זאת. טענת שתי החברות זהה: אנחנו לא הלקוחות של Carrier IQ ולא מקבלות שום מידע שאוספת האפליקציה.
ההאשמה ברורה, האחריות למחדל מוטלת באופן בלעדי על חברות הסלולר האמריקאיות. ומה הן אמרו? ורייזון, הספקית הגדולה בארה"ב, היתה הראשונה להגיב והכחישה קטגורית שהיא משתמשת בתוכנה במכשיריה.
ספרינט הקטנה יותר הפתיעה והודתה שהיא משתמשת בתוכנה, אבל שזו מספקת לה רק מידע המאפשר לה לנתח את ביצועי הרשת שלה ולחקור מקומות שבהם יש לשפר את השירות, וכן כדי להבין את ביצועי המכשיר. "אנחנו לא מקבלים גישה לתוכן הודעות, תמונות וסרטונים", טענה החברה. AT&T סיפקה הודאה דומה: "אנו משתמשים במידע מ־Carrier IQ כדי לשפר את ביצועי הרשת והשירות", וחברת טי־מובייל מסרה כי "אנו לא משתמשים בכלי הדיאגנוסטיקה הזה כדי לגשת לטקסט, אימיילים או הודעות קוליות".
הרגולטורים דורשים הסברים
בסוף השבוע שחררה Carrier IQ תגובה מפורטת, ובה חזרה בהרחבה על הטענות שסיפקו חברות הסלולר: האפליקציה משמשת לבדיקת ביצועי המכשיר, כדי לאפשר מתן שירות טוב יותר. זאת, אף שאמרה בחצי פה כי לתוכנה יש גישה למידע רב.
"לדוגמה", אמרה החברה, "אנחנו יודעים אילו אפליקציות מרוקנות את הסוללה, אבל לא מצלמים את המסך. הפרטיות נשמרת". החברה אף סיפקה בהודעתה ציטוט מטעם מומחית אבטחה, שטענה כי הדיווחים על איסוף מידע אישי הם מוטעים.
ההכחשה, עם זאת, הותירה הרבה שאלות פתוחות: האם ליצרניות יש אפשרות לזכות בגישה למידע נרחב יותר באמצעות התוכנה? ובאילו סמארטפונים בדיוק ניתן למצוא אותה? סמנכ"ל השיווק של החברה, אנדרו קאוורד, הודה בראיון לאתר Wired כי לחברה יש גישה פוטנציאלית ל"תיבת אוצר" של מידע, דוגמת כתובות שאליהן גולש המשתמש, שחלק מהספקיות בחרו לקבל גישה למידע זה, ושהמידע נשמר עד 30 יום. ההודאה הזו ביטלה כל אפקט מרגיע שאולי היה להודעה הרשמית של החברה.
אחרי הזעם הראשוני הגיעו גם תגובות הנגד. סנטור אל פרנקן, ראש תת־ועדת הסנאט לפרטיות, טכנולוגיה וחוק, הקציב בסוף השבוע ל־Carrier IQ עד 14 בחודש כדי להסביר את מעשיה, ובהמשך צירף לדרישה גם את ספרינט, HTC, סמסונג ו־AT&T. במקביל הוגשה תביעה ייצוגית נגד Carrier IQ, סמסונג ו־HTC בשיקגו ובסנט לואיס על סכומים של מאות מליוני דולרים, בשם כל תושבי ארה"ב שהטלפונים הניידים שלהם הכילו את האפליקציה, בטענה שעברו על חוק פדרלי האוסר יירוט תקשורת אלקטרונית.
בגרמניה כבר פנה הרגולטור המקומי לאפל בבקשה לספק הבהרות בנושא, על פי דיווח של סוכנות הידיעות בלומברג, אבל יצרניות אחרות טרם זכו לקבל פנייה ממנו, משום מה. במקביל, רגולטורים בבריטניה, צרפת, אירלנד ואיטליה החלו לבדוק אם נעשה שימוש כלשהו ב־Carrier IQ בתחומי השיפוט שלהם. בישראל, אגב, שלוש חברות הסלולר מכחישות לפי שעה כי תוכנת Carrier IQ הותקנה על המכשירים שמכרו ללקוחותיהן.
ויקיליקס חושף את חברות האבטחה
בתוך כך פירסם ארגון ויקיליקס בסוף השבוע אוסף חדש של מסמכים, בשם "קובצי המרגלים". האוסף החדש מתאר, על פי הארגון, "תעשייה סודית הפרוסה על פני 25 מדינות, ומגלגלת מיליארדי דולר מדי שנה מאז אירועי 11 בספטמבר". מדובר בקובץ של 287 מסמכים של חברות מעקב, צנזורה, שירותי ביון ואבטחה, כגון סימנס, NetQuest, נייס הישראלית, HP ועוד.
המסמכים כוללים מצגות, קטלוגים, חוזים, מדריכים טכניים ומידע פנימי אשר פורסמו בחמש השנים האחרונות. ברוב המקרים מדובר במידע על שירותים ומוצרים שנמכרים ישירות לממשלות ולגופי ביון ואינם מוכרים לציבור.
במקרה של נייס הישראלית, ניתן למצוא את שירות הריגול Target 360 שהוא, לפי הגדרת החברה, מערכת יירוט תקשורת מתקדמת לצורכי מעקב, ניטור וחקירת מטרות ופעילויות, המקיפה 1.5 מיליארד אנשים ברחבי העולם. מסמך אחר של נייס מציג את מגוון "פתרונות המודיעין" שמשווקת החברה, ביניהם פלטפורמה ליירוט ולניתוח כמויות גדולות מאוד של מידע תקשורתי, כגון שיחות טלפון או גלישה ברשת. לפי המסמך, מערכת זו יכולה בין השאר לזהות מטרות חשודות תוך סריקת מיליארדי שיחות קול, טקסטים ומידע נוסף.
בין המסמכים ניתן למצוא פרטים של חברות ישראליות נוספות, כמו סלברייט, אלתא וספטייר. גם HP, אחת מחברות הטכנולוגיה הגדולות בעולם, מציעה מוצרי מעקב. לפי עלון מידע שלה, HP מספקת פורטפוליו של מערכות מודיעיניות המאפשרות, בלשון המסמך, "גישה בזמן אמת ליישום בקשות מידע חוקיות".גם נוקיה־סימנס מככבת ברשימה. בין המסמכים שהודלפו מבית החברה ניתן למצוא מצגת שעניינה פתרונות יירוט חוקי. החברה מתגאה כאן ברשת שותפים בינלאומית של חברות העוסקות בתחום, המאפשרת לספק פתרונות יירוט גלובליים.
מסימנס, החברה־האם של נוקיה־סימנס, דלפה מצגת המקדמת את פלטפורמת המודיעין שלה: "האם ההעברה הבנקאית שביצע אדם מסוים קשורה לירושה שקיבל מאמו, או לגניבת יצירת האמנות משבוע שעבר?", שואלת המצגת, ועונה: "דמיין שתוך דקות תוכל לקבל דו"ח שמפרט את כל המגעים שביצע אדם מסוים - אימייל, פקס, SMS, שיחות טלפון, העברות בנקאיות, טיסות, פרטי כרטיס אשראי".
קובץ המסמכים זמין לצפייה באתר ויקיליקס וכן דרך כמה גופי תקשורת נוספים - "וושינגטון פוסט", הארגון הבריטי לעיתונות חוקרת וסוכנות הידיעות ARD הגרמנית. בהודעה רשמית של ויקיליקס כתב אסאנג': "יירוט של שיחות ומעקב אחר אזרחים הפך לשגרה. זה נשמע כמו סרט הוליוודי, אבל היום מערכות מעקב מוקמות על ידי גופי ביון מערביים כחלק מהשגרה. התעשייה הזאת, בפועל, אינה נמצאת תחת פיקוח. גופי ביון, צבא ומשטרה יכולים בצורה שקטה ומסיבית ליירט שיחות ולהשתלט על מחשבים". בארגון מבטיחים לפרסם מסמכים נוספים השבוע ובתחילת 2012.