האם מצרים מרגלת אחר המשתתפים בוועידת האקלים?

אתר " פוליטיקו " האמריקאי פרסם דו"ח בו הוא מדבר על חששות האבטחה שהעלו יועצי אבטחה מערביים בנוגע לאפליקציית הסמארטפון הרשמית שהנפיקה ממשלת מצרים, המארחת את ועידת האומות המאוחדות לשינויי אקלים, שמקודמת ככלי שיעזור למשתתפים לנווט במהלך האירוע.

קובעי מדיניות מגרמניה, צרפת וקנדה היו בין המשתתפים שהורידו את האפליקציה עד ה-8 בנובמבר, על פי גורמי ביטחון מערביים נפרדים שתודרכו על דיונים בתוך המשלחות הללו בפסגת האקלים של האו"ם.

על רקע החששות שהוא יכול לשמש לפריצת מיילים פרטיים, הודעות טקסט ואפילו צ'אטים קוליים, פקיד ממשלתי אחר באירופה אמר שממשלות מערביות אחרות המליצו לגורמים רשמיים לא להוריד את האפליקציה. כל הפקידים דיברו בעילום שם.

סכנת הפגיעה הפוטנציאלית של האפליקציה, שהורדה אלפי פעמים ומספקת שער למשתתפי ועידת שינויי האקלים של האו"ם, אושרה בנפרד על ידי ארבעה מומחי אבטחת סייבר שבדקו את האפליקציה הדיגיטלית עבור Politico.

 

למעשה, האפליקציה מקודמת ככלי לעזור למשתתפים לנווט במהלך הכנס, אך המשתמש מסתכן במתן רשות לממשלת מצרים לקרוא מיילים והודעות משתמשים . אפילו הודעות ששותפו באמצעות שירותים מוצפנים כמו WhatsApp נמצאות בסיכון, על פי סקירה טכנית של האפליקציה של Politico ושני מומחים חיצוניים. אפליקציה זו מספקת גם למשרד התקשורת וטכנולוגיית המידע המצרי את היכולת לסרוק את המכשירים של המשתמשים בה.

לסמארטפונים עם מערכת ההפעלה אנדרואיד יש הרשאה פוטנציאלית להאזין לשיחות של משתמשים דרך האפליקציה, גם כשהמכשיר במצב שקט, על פי שלושת המומחים וניתוח פוליטיקו נפרד. הוא יכול גם לעקוב אחר מיקומם של אנשים באמצעות טכנולוגיות GPS ו-Wi-Fi המובנות בסמארטפון, לפי שני אנליסטים.

לדברי Marwa Fatafta, מנהלת זכויות דיגיטליות למזרח התיכון וצפון אפריקה בעמותת "גישה עכשיו", האפליקציה אינה אלא "כלי צנזורה שהרשויות המצריות יכולות להשתמש בו כנשק למעקב אחר פעילים, נציגי ממשלה וכל מי שמשתתף בוועידת האקלים".

האתר ציטט מומחה אבטחה, שדיבר בעילום שם כדי להגן על עמיתים שהשתתפו בכנס, שאמר כי "האפליקציה היא נשק אלקטרוני". ממשלת מצרים לא הגיבה לבקשות להגיב. "גוגל" מצידה מסרה כי היא בדקה את האפליקציה ולא מצאה הפרות של המדיניות שלה.

סיכוני האבטחה הפוטנציאליים מגיעים כאשר אלפי פקידים בעלי פרופיל גבוה הולכים לאתר הנופש של שארם א-שייח', שם פזורים ברחבי העיר מה שמכונה קודי QR המפנים אנשים להוריד אפליקציית סמארטפון.

מנהיגים עולמיים כמו נשיא צרפת עמנואל מקרון, ראש ממשלת בריטניה רישי סונאק ושר החוץ האמריקני אנתוני בלינקן הם בין המשתתפים בוועידת שינויי האקלים של האו"ם, אם כי לא סביר שפוליטיקאים בעלי פרופיל גבוה יורידו אפליקציה ממשלתית נוספת.

לפי מומחים ששוחחו עם פוליטיקו, חלק גדול מהנתונים והרשאות הגישה שהאפליקציה מקבלת הם סטנדרטיים למדי. אבל לפי שלושה מהמומחים הללו, רקורד זכויות האדם של ממשלת מצרים וקטגוריית האנשים שיורידו את האפליקציה, מעוררים דאגה.

גישה מוזרה ורחבה

שלושה חוקרים אמרו שהאפליקציה מהווה סיכון לצנזורה למורידים בגלל ההרשאות הרחבות שלה לסקור את המכשירים של המשתמשים, אם כי היקף הסיכון עדיין לא ברור.

האתר ציין כי אליאס קויווולה, חוקר בחברת אבטחת הסייבר With Secure, סקר את אפליקציית האנדרואיד עבור Politico והודה כי לא מצא עדות לכך שאנשים קראו מיילים של אנשים. הוא הוסיף כי לרבים מההיתרים שניתנו ליישום ועידת שינויי האקלים יש גם מטרות טובות כמו לעדכן אנשים עם מידע הנסיעות העדכני ביותר על הפסגה.

 

אבל קוויבולה אמר שהיתרים אחרים שניתנו לאפליקציה נראים "מוזרים" ויכולים לשמש למעקב אחר תנועות ואנשי קשר של אנשים, ועד כה אין לו עדות לפעילות שכזאת. 

פול שאנק, מהנדס מודיעין אבטחה בחברת אבטחת הסייבר Lookout, אמר כי לא מצא ראיות לכך שהאפליקציה יכולה לגשת למיילים. הוא בטוח שהאפליקציה לא נוצרה כתוכנת ריגול טיפוסית, הוא הכחיש את הטענות שהאפליקציה פועלת כמכשיר ריגול.

שאנק הוסיף כי האפליקציה משתמשת במעקב אחר מיקום "בקנה מידה גדול", אך נראה שהיא משמשת למטרות לגיטימיות כמו מיפוי המסלול עבור המשתתפים בפסגה.

שני האנליסטים האחרים של אבטחת סייבר שבדקו את האפליקציה בעילום שם כדי להגן על עבודת האבטחה השוטפת שלהם וכדי להגן על עמיתים המשתתפים בוועידת שינויי האקלים, ציינו כי "ברגע שהאפליקציה תורד למכשיר, זה יהיה קשה – אם לא בלתי אפשרי –  למנוע גישה לנתונים רגישים גם לאחר מחיקתם.

Politico בחנה את סיכוני האבטחה הפוטנציאליים של האפליקציה עם שני כלי אבטחת סייבר פתוחים, שניהם העלו חששות לגבי יכולתה לרגל אחר שיחות של אנשים, לעקוב אחר מיקומם ולשנות את אופן פעולת האפליקציה מבלי לבקש רשות.

הרקורד של מצרים

אולי מה שמגביר את הדאגות של ארגוני זכויות אדם הוא הרקורד של ממשלת מצרים במעקב אחר אנשיה. 

בעקבות האביב הערבי, קהיר השתמשה בכללי חירום מקומיים כדי לעקוב אחר הפעילות המקוונת והלא מקוונת של אזרחיה, לפי דו"ח של העמותה Privacy International.

כחלק מהודעת הפרטיות של אפליקציית הסמארטפון, ממשלת מצרים אומרת שיש לה את הזכות להשתמש במידע שסופק על ידי מי שהורידו את האפליקציה, כולל מיקומי GPS, גישה למצלמה, תמונות ופרטי Wi-Fi. "האפליקציה שלנו שומרת לעצמה את הזכות לגשת לחשבונות לקוחות מסיבות טכניות, מנהליות ואבטחה", נכתב בהצהרת הפרטיות.

עם זאת, הסקירה הטכנית גילתה היתרים נוספים שאנשים העניקו בשוגג לממשלת מצרים שלא פורסמו ברבים באמצעות הצהרותיה הפומביות. זה כלל מעקב אחר מה שהמשתתפים עשו באפליקציות אחרות בטלפונים שלהם; חיבור סמארטפונים של משתמשים באמצעות Bluetooth למכשירים אחרים בדרכים שעלולים להוריד נתונים למכשירים בבעלות ממשלתית; חיבור טלפונים של אנשים לרשתות Wi-Fi באופן עצמאי, או ביצוע שיחות בשמם ללא ידיעתם.

פתאפטה הזהיר כי "לא ניתן להפקיד את ממשלת מצרים בניהול הנתונים האישיים של אנשים בשל הרקורד הגרוע שלה בזכויות אדם והתעלמות בוטה בפרטיות".

6 Highest-Paid Cyber Security Jobs & Salaries | Mondo

קרדיט: ערבי 21     קרדיט לתמונה: מונדו