התקנתם אפליקציית פנס בטלפון. תתחדשו. היא מאירה את דרככם בסמטאות חשוכות, והיא אפילו ניתנה לכם בחינם. אלא שאין דבר כזה ארוחות חינם. דוגמה לכך התקבלה לפני כחודש, אז הגיעה נציבות הסחר האמריקאית (FTC) להסדר פשרה עם מפתחי אפליקציית ברייטסט פלאשלייט (Brightest Flashlight), שצברה בשיאה 50 מיליון משתמשים, לאחר שהתברר כי היא מוכרת מידע פרטי אודות לקוחותיה לחברות מסחריות ומפרסמים, כולל מיקום וזיהוי משתמש.
ברייטסט פלאשלייט עשתה זאת אף שהבטיחה למשתמשים שכל איסוף המידע שלה משמש לצרכיה הפנימיים. מי שהעירו את תשומת לבה של הנציבות הם משתמשים ערניים, שתהו מדוע אפליקציית פנס דורשת בעת ההתקנה הרשאות נרחבות כל כך. בהסדר עם FTC, אגב, מפתחי האפליקציה התחייבו למחוק את המידע שאגרו, ולא נענשו מעבר לכך.
הסמארטפון הוא אמצעי ריגול יעיל במיוחד אחר משתמשים. הוא מרכז את כל המידע האישי והעסקי שלנו: תמונות, טלפונים, הודעות, מועדי פגישות, מיקום, קבצים רגישים, סיסמאות כניסה ואף נתונים של כרטיסי אשראי. איך תדעו שהאפליקציה שהתקנתם אינה מסכנת את המידע החשוב שאגור על המכשיר שלכם? הנה הדברים שמהם כדאי להיזהר והדרכים להתגונן מפני האפליקציות הזדוניות.
גידול מתמיד באיומים
איומי האבטחה והפרטיות בסמארטפון רבים ומגוונים, כפי שמפרט אמיר כרמי, מנהל מחלקת התמיכה הטכנית בקומסקיור, הנציגה בישראל של חברת האבטחה ESET: "בוא נתחיל בלחלק את סוגי הסמארטפונים. לגבי אייפון ו–iOS השיחה קצרה. אפל לא מאפשרת לנו, ולאף חברת אנטי־וירוס אחרת, להיכנס למכשיר, לסרוק אותו ולהגן עליו. אפל טוענת שהנושא הזה מטופל.
"כך היה גם עם מערכת ההפעלה למחשב המקינטוש במשך שנים עד שאפל אישרו במערכת ההפעלה OS6 התקנה של אנטי־וירוסים. בגדול, iOS היא מערכת הפעלה בטוחה יותר מאנדרואיד, אך היא פלטפורמה שיוצרת תחושת ביטחון מזויפת ושאננות. יש וירוסים שהם Cross Platform, כלומר יש רוגלות גם באייפון.
"לרוגלות באנדרואיד, שהיא 80% מהשוק בערך, יש שתי מטרות עיקריות: האחת היא לעשות כסף והשנייה לאסוף מידע. את המידע אוספים לרוב כדי לסחור בו, או כחלק מריגול תעשייתי, או ריגול בין מדינות. מספר הנוזקות (תוכנות זדוניות) לאנדרואיד גדל בקצב מסחרר, עלייה של 100% מדי רבעון, הנובעת מהמדיניות המתירנית של גוגל באפליקציות.
"באנדרואיד אפשר להתקין אפליקציות צד שלישי, לא מהחנות הרשמית, ולהוריד קובץ APK (קובץ אפליקציה לאנדרואיד, א"ז) מאתרי טורנטים, מה שחושף את המשתמש לווירוסים הרבה יותר".
כרמי מספק גם דוגמאות. "יש אפליקציות ששותלות לך פרסומות שפתאום מופיעות בדף הבית או בדפדפן, מה שאסור לפי מדיניות האפליקציות של גוגל, אבל הרבה אפליקציות עוברות את הסינון של גוגל. ברוב המקרים, הייתי אומר 95%, המטרה של התוכנה זה לגנוב לך מידע. בסמארטפון יש יותר מידע מאשר במחשב השולחני. הכל מאוחסן שם - פרטים, מיקומים, GPS, המייל של העבודה וכמובן פרטי הכניסה של הפייסבוק. אז התוכנה גונבת פרטי כניסה שלך. אל תיקח את זה אישית, כי לא מתעניינים בך ספציפית, אלא אם אתה הרמטכ"ל.
"אחר כך, גופים כאלה מוכרים את פרטי הכניסה לפייסבוק בשוק האפור, וזה נמכר באלפים, לא בבודדים. מי שקונה את הלוג־אין שלך בדרך כלל ישר יחליף לך את סיסמת הכניסה, ואז יתחיל להעלות תוכן מסחרי או קישורים בתשלום. מקרה דומה זה השתלטות על הג'ימייל ושליחת מייל בסגנון 'אני בספרד, גנבו לי את הארנק, אנא שלחו לי כסף'".
הגלישה לא בטוחה יותר מאפליקציה
כרמי מזהיר כי ברגע שמשתמש שומר את פרטי כרטיס האשראי שלו בחנות האפליקציות, תוכנה זדונית יכולה לגנוב גם את הפרטים הללו. נמצאו וירוסים שיודעים להיכנס לטלפון ולשלוח בשם המתמש הודעות SMS למספרי פרימיום ושיחות למספרי פרימיום (מספרים שהחיוג אליהם מכניס לבעל המספר כסף), בלי להשאיר כלל תרשומת על המכשיר. משתמש מגלה תוכנה כזו רק אחרי שהוא מקבל חשבונית מנופחת מחברת הסלולר. קיים כיום גם חשש חדש מתוכנות שיישבו על המכשיר ויהפכו אותו לכורה ביטקוין, בלי ידיעת המשתמש".
אז מה עושים וכיצד מתמגנים? רשימת ההמלצות פשוטה. "ראשית, כדאי להוריד אפליקציות רק מחנויות רשמיות", אומר כרמי. "שנית, הייתי ממליץ לקרוא את ההרשאות שכל אפליקציה מבקשת לפני ההתקנה ולוודא שהיא ניגשת רק למידע שהיא צריכה. לבסוף, אני ממליץ להשתמש בתוכנת הגנה. זו צריכה להיות תוכנה שיודעת לסרוק אפליקציות, שמצביעה על אפליקציות שמבקשות הרשאות שלא אמורות להיות להן. זו צריכה להיות תוכנה שיודעת לסרוק גם קבצים חיצוניים ויודעת גם להגן בזמן גלישה בדפדפן הסלולרי".
כרמי מקדם כמובן את תוכנת ESET, אבל יש לה חלופות טובות. תוכנות מקובלות אחרות להגנה על הסמארטפון הן למשל Lookout ו–TrustGo, ויש עוד רבות נוספות. כל אחת מהן מסוגלת לסרוק את האפליקציות ולאשר אותן, לסמן אתרי אינטרנט בטוחים לגלישה וכן למפות את ההרשאות של האפליקציות. תכונות נוספות שיש לתוכנות האבטחה הן גיבוי מידע וגישה מרחוק למכשיר במקרה של גניבה. התוכנות ברובן חינמיות ומציעות שירותים נוספים תמורת תשלום.
המלצה נוספת לשמירה על הפרטיות קשורה בדיוק לזה. מחקר של עו"ד יהונתן קלינגר מראה כי רוב האפליקציות בתשלום דורשות פחות הרשאות מאלה החינמיות. אם יש לאפליקציה שבה אתם חפצים גרסת פרימיום, כדאי לשקול זאת. המלצה נוספת נוגעת לעדכוני הקושחה (מערכת הפעלה). גרסאות האנדרואיד הישנות פגיעות יותר, ולכן כדאי לעדכן את מערכת ההפעלה במכשיר מעת לעת.
האם גלישה סלולרית בטוחה יותר משימוש באפליקציות? כרמי טוען שלא. "אם עשית לוג־אין לפייסבוק או לג'ימייל והרוגלה יודעת לגשת למערכת הססמאות שלך בדפדפן, אני לא רואה יתרון בדפדפן על פני אפליקציות".
סוגיית שומרי הסף שאמורים להגן על הפרטיות הסלולרית היא אנומליה. כך, אם המשטרה רוצה לקבל נתון כלשהו מחברת סלולר, נגיד תרשומת שיחות, על פי חוק נתוני המידע היא חייבת להסביר בבית המשפט מדוע קבלת המידע חיונית, ורק אז תקבל צו שיאפשר לה לפעול מול חברת התקשורת. זהו הליך שנוצר בצדק, הרי מדובר במידע אישי ורגיש של אזרחים.
אלא שכל מתכנת מתחיל יכול להוציא מהמכשיר שלנו מידע רגיש בהרבה ללא כל קושי. אנחנו נרעשים מהקמת המאגר הביומטרי, אך למעשה זהו מאגר שהמדינה מקימה עם חברות מחשוב גדולות ותקני אבטחה גבוהים. לעומת זאת, מי עומד מאחורי האפליקציה שהרגע התקנתם, וכיצד הוא מאבטח את מאגר המידע שלו? אין לנו מושג.
הפרשה המוכרת ביותר בישראל היא המקרה המוזר של אפליקציית MeZeZe. זו אפליקציה שהבטיחה למשתמש זיהוי מתקשר גם אם אינו מופיע בספר הכתובות. ואולם לפני שנה וחצי דלף לרשת מכתב פנימי של המשטרה, ממחלקת קשר אלקטרוניקה ומחשבים, שנוגע לאפליקציה.
המכתב מזהיר את השוטרים מפני השימוש באפליקציה הזו: "לידיעתכם, האפליקציה מעתיקה את ספר הטלפונים שלכם לאינטרנט למאגר מידע שלא ידוע אצל מי הוא נמצא ולמי יש ו/או תהיה גישה אליו כיום ובעתיד. המאגר יוצר חדירה חמורה לפרטיות. רוב המנויים אינם מודעים לדרך שבה התוכנה עובדת ופשוט התקינו אותה בתום לב. אם איש ביטחון התקין את התוכנה, כל ספר הטלפונים שלו עלה לאינטרנט, ללא רצונו. בנוסף, התוכנה דורשת הרשאות למיקום שלכם בכל רגע נתון. מה יקרה עכשיו אם המאגר הזה נפרץ, ולפורץ יש גישה למאות אלפי מנויים ואולי יותר? ראו הוזהרתם מהתקנת אפליקציה זו".
כותב המסמך מסביר: "בתקופה האחרונה אנו עדים לתופעה מתפשטת של התקנת תוכנות זדוניות (Spyphone) על גבי מכשירים סלולריים. ביצוע פעולות אלה הן בגדר עבירה פלילית על חוק האזנות הסתר, שדינה עד שבע שנות מאסר". כותב המסמך, ראש תחום סלולר במשטרה, בנימין דהן, מציע דרכים לזהות אפליקציות בעייתיות: "סוללה נגמרת בתדירות גבוהה מהרגיל, מסך מרצד באופן חריג לצד חימום קבוע של המכשיר, אייקונים לא מזוהים על המכשיר, חשבון טלפון מנופח בגלל שליחה חריגה של הודעות, פלטי שיחות שמכילים הודעות SMS ליעד לא מזוהה, וחבילת גלישה שנוצלה באופן לא שגרתי".
אם כך, מתעוררת השאלה: אם המשטרה זיהתה כבר בינואר 2011 את האפליקציה כבעייתית, מדוע לא הזהירה את הציבור כולו? האם אין למשטרה אחריות כלשהי כלפי האזרח בהקשר זה? מדוע דרכי הזיהוי של אפליקציות זדוניות לא פורסמו ברבים? אפשר להמשיך ולתהות: אם במשטרה זיהו את האפליקציה בעלת פוטנציאל פלילי על פי חוק האזנות הסתר - מדוע לא פעלו מול המפתחים? ממשטרת ישראל לא נמסרה תגובה.
לאחר כמה חודשים זיהה עוד גוף את האפליקציה הבעייתית. זוהי הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים. על פי אתרה, "היעדים של רמו"ט הם לחזק את ההגנה על מידע אישי, להסדיר ולפקח על השימוש בחתימות אלקטרוניות, ולהגביר את האכיפה של עבירות פגיעה בפרטיות". רמו"ט גם מאגדת את מה שהיה רשם מאגרי המידע. חוק הגנת הפרטיות מחייב כלמי שמנהל מאגר עם יותר מ–10,000 אנשים (כפי שהיה ל–MeZeZe) לרשום אותו אצל רשם מאגרי המידע. אי־רישום הוא עבירה פלילית שדינה עד שנת מאסר. למרות זאת, ברמו"ט מודים כי רק כ–2% ממי שאמור לרשום מאגר אכן עושה זאת.
יום בהיר אחד ירדה אפליקציית MeZeZe מהאוויר. לא ברור כיצד התגלגלו הדברים, אך דוברת רמו"ט אישרה כי הדבר קרה לאחר התערבותה. רמו"ט קיבלה פניות מכלי תקשורת ומהציבור והחליטה לפעול. היא דרשה מהמפתחים לחתום על התחייבות למחוק את מאגר המידע שאגרה האפליקציה.
מרמו"ט נמסר: "ב–2012 ניהלה רמו"ט הליך בעניין MeZeZe. במסגרתו דרשה רמו"ט הבהרות בנוגע לפעילות החברה, כדי לבחון את עמידתה בהוראות חוק הגנת הפרטיות. לאחר קבלת תשובות, נשלחה לחברה הודעה על הפרה לכאורה של הוראות החוק. בסמוך למועד הודעה זו, הודיעו באי כוח החברה כי המיזם הפסיק את פעילותו, האפליקציה אינה זמינה עוד להורדה, משתמשים שהורידו אותה בעבר אינם יכולים לעשות בה שימוש, וכל מידע שנמסר על ידם בעבר נמחק. לאור זאת, הוחלט על סיום ההליך".
רמו"ט מדווחת באופן שוטף על פעילויות אכיפה שלה, בנוסף לדו"חות שנתיים, אך היא מעולם לא דיווחה לציבור על הטיפול באפליקציית MeZeZe. בנוסף, היא לא וידאה בשום דרך את מחיקת מאגר המידע מלבד "הודעת בא כוח החברה". לבסוף, הרשות היתה יכולה לפעול לפתיחת הליך פלילי כנגד המפתחים, אך לא עשתה זאת.
ברמו"ט מסבירים כי הרשות התחילה בבירור מול מפתחי האפליקציה, ולפני שהבירור הגיע למיצוי הודיע בא כוח החברה על הפסקת פעילות, ולכן גם הטיפול של רמו"ט הופסק, עוד לפני שהרשות הגיעה למסקנות סופיות. מסיבה זו גם לא דיווחה הרשות באופן פומבי על ההליך.
רמו"ט היא גוף קטן יחסית המונה 20 עובדים ובעל סמכויות אכיפה חלשות, שממילא מתקשה לעמוד במשימות השוטפות שלו. ב–2011 קודמו שתי הצעות שנועדו מצד אחד להקטין את החובה הכללית של רישום מאגר מידע, ומצד שני להגדיל במידה רבה את סמכויות האכיפה של רמו"ט. הצעות החוק לא הגיעו לבשלות.
באין אכיפה אקטיבית מצד המשטרה ורמו"ט, כל שנותר למשתמשים הוא להישען על שומרי הסף היחידים בעולם האפליקציות - גוגל ואפל. שתי החברות מאפשרות לדווח על אפליקציות פוגעניות או מסוכנות, וגם פועלות להסיר אותן מהפלטפורמות שלהן. "אנחנו מדווחים באופן שוטף לגוגל על אפליקציות ישראליות שאנו מוצאים כבעיתיות. הרבה מהן קשורות לזמני תפילה, אפליקציית תפילין וכדומה", מסכם כרמי.
*סייעה בהכנת הכתבה: נטלי נוביצקי
וגם:
>> יועץ תקשורת על פרשת רני רהב: "ב-20 שנה שאני בתחום לא קיימתי שיחה כזו"
>> רני רהב: אני מתנצל. אני לא נוהג לאיים, נפגעתי והגבתי מדם לבי
