חוקרים: NSO השתמשה במיקום אמיתי של ישראלים, כדי למכור את אפליקציית איתור המגעים שלה

קבוצת המחקר Forensic Architecture ניתחה מאגר מידע של חברת הסייבר הישראלית שלא אובטח כראוי וטוענת – נעשה שימוש במידע אמיתי של אנשים כדי להציג את האפליקציה. ב-NSO מסרו בתגובה: ”הדמו שהוצג לא היה מבוסס על מידע אמיתי”

צילום מסך מתוך הניתוח של Forensic Architecture​

אפליקציות זיהוי מגעים היו אחד מהטרנדים הבולטים של תקופת הקורונה. אחת השחקניות המעניינות ששמה הוזכר בתחום היתה NSO הישראלית – שאפילו זכתה לגיבוי של שר הביטחון לשעבר נפתלי בנט. עתה טוען מחקר חדש, שכדי לנסות ולמכור את האפליקציה שלה, הלכה NSO רחוק.

הדליפה ועונשה

קבוצת המחקר Forensic Architecture, היושבת בלונדון ושבראשה עומד הארכיטקט הישראלי-בריטי ד”ר איל ויצמן, פרסמה מחקר חדש שבחן מידע שדלף מאפליקציית זיהוי המגעים של NSO Group הישראלית (שזכתה לשם Fleming). במחקר טוען החוקר הישראלי-בריטי, שעמד בראש הצוות, כי NSO עשתה שימוש במידע של אנשים אמיתיים כדי להציג את האפליקציה לרוכשים אפשריים.

החקירה של ויצמן וצוותו התבססה על מאגר מידע שהתגלה לא מאובטח במאי האחרון על ידי חוקר אבטחה בשם בוב דיאצ’נקו, שבמקרה היה גם מאגר המידע של Fleming, והוריד אותו. דגימה מהמאגר שדלף הגיעה לקבוצת המחקר הבריטית, שיצאה להבין מהיכן מגיעות הנקודות על המפה שמציגה NSO – והאם מדובר במידע שנאסף מאנשים אמיתיים. ב-Forensic Architecture אמרו כי במאגר המידע שהגיע לידיהם היו יותר מחצי מיליון נקודות דאטה המציינות מיקומים של משתמשים, שהגיעו מיותר מ-30 אלף מספרי טלפון שונים – לאורך תקופה של שישה שבועות, מ-10 במרץ ועד 13 באפריל 2020.

“כל נקודה על המפה מספקת מידע בנוגע לטווחי הזמנים שבהם יעד מסוים תועד במיקום מסוים. חלק מהנקודות הללו מסומנות עם זמן התחלה וזמן סיום, או לפי תגית ‘נראה לאחרונה'”, נכתב בדוח של Forensic Architecture, “השארת מאגר מידע עם מיקומים אמיתיים מהווה עבירה על החוק. העובדה שחברת מעקב עם גישה למידע פרטי הייתה אחראית לדליפה כזו מדאיגה ביותר”.

הטעויות שרומזות שמדובר במידע אמיתי

ב-NSO דחו כבר במאי את הטענות כי מדובר במידע של אנשים אמיתיים, אך קבוצת המחקר הבריטית גורסת כי החברה הישראלית סיפקה לכאורה אמירות סותרות – ועל כן יצאה לבחון את המידע שקיבלה. על פי Forensic Architecture, החברה הישראלית השתמשה לכאורה במידע אמיתי מ-32 אלף סמארטפונים של אנשים (או “מטרות” כפי שהוגדו ע”י NSO) מ-5 מדינות: ישראל, רואנדה, סעודיה, איחוד האמירויות ובחריין – מדינות שבהן מכרה החברה – על פי דיווחים – את כלי התקיפה שלה פגסוס.

על פי החוקרים, על ידי הרצה של כל הנקודות במאגר המידע דרך תוכנת קוד פתוח שיצרו בשם TimeMap, הם זיהו כי הנקודות שסומנו על ידי המפות מה”מטרות” תואמות תנועה של בני אדם אמיתיים, וכי לא מדובר לכאורה במאגר מידע שיוצר על ידי מחשב לטובת הדגמת האפליקציה של NSO.

החוקרים טוענים שלמרות “שגיאות” ואנומליות שנמצאו מניתוח התנועה במרחב ולאורך זמן של חלק מהמטרות – מדובר בממצאים שדווקא עומדים בקנה אחד עם נתונים הנאספים ממכשירים אמיתיים וכי חלק מהטעויות נובעות מה-GPS, שמנסה להינעל המיקום של הטלפון במרחב.

בקבוצת המחקר הבריטית יצרו קשר עם שני חוקרים חיצוניים ושיתפו אותם במידע. אחד מהחוקרים הללו פעיל ב-Citizen Lab, הקבוצה שהאשימה לאחרונה את NSO בשימוש בפרצה ב-iOS להפצת כלי הסייבר ההתקפי שלה – פגסוס.

שני החוקרים עברו על הנתונים והגרפים שיצרו ב-Forensic Architecture מנתוני מאגר המידע של NSO שדלף לרשת ואמרו גם הם כי המידע עולה בקנה אחד עם מידע שנאסף בזמן אמת ממכשירים אמיתיים ולא מדובר במידע מומצא. גם הם מצביעים על כך שהחריגות שנמצאו במידע מוכיחות אפילו עוד יותר שמדובר במידע שנאסף ממכשירים של אנשים אמיתיים.

“הדמו שהוצג לא היה מבוסס על מידע אמיתי של חולים בקורונה”

מ-NSO נמסרה לגיקטיים התגובה הבאה: “לא ראינו את הבדיקה לכאורה שנעשתה ויש לתהות על מסקנותיה שכן בניגוד גמור לנטען, אנחנו עומדים מאחורי תגובתנו המקורית, לפיה הדמו שהוצג לכלל אמצעי התקשורת לא היה מבוסס על מידע אמיתי של חולים בקורונה. המידע שעל בסיסו נבנה הדמו לא כלל כל מידע אישי מזהה של אדם כזה או אחר. הדמו כאמור היה סימולציה שנבנתה ממידע מעורבל”.

עוד מסרו ב-NSO כי “מערכת פלמינג פותחה ככלי אנליטיקה שנועד לסייע למקבלי החלטות להתמודד עם התפשטות מגיפת הקורונה. חברת NSO לא אוספת מידע עבור הפעלתה ובנוסף אין לחברה כל גישה למידע שנאסף ע”י משתמשי הקצה המדינתיים”.

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

6 תגובות על "חוקרים: NSO השתמשה במיקום אמיתי של ישראלים, כדי למכור את אפליקציית איתור המגעים שלה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יזם
Guest

חברה פח

שוקי
Guest

חברה לא טובה עושה מעשה טוב וגם אז נופלים עליה ?

שם כלשהו
Guest

מעניין שהם מדגישים שזה לא מידע אמיתי של *חולי קורונה* ולא אומרים מידע אמיתי של *אנשים אמיתיים*, כך שטכנית הם כנראה לא משקרים, פרקטית נשמע די אמין שהם השתמשו במידע אמיתי, אבל הבעיה היא לא שהם הציגו את המידע, אלה שהם בכלל אוספים את המידע על כלכך הרבה ישראלים.

Kkkkkk
Guest

באותה תקופה לא היה יותר מ10,000 חולים. ככה שזה מידע שלקחו מתקופות שונות

סאחותכם
Guest

לא הבנתי.
אנשים פה צבועים.
רפאל היא לא חברה פח? התעשייה האווירית?
Nso היא חברת נשק כמו כל האחרות, איך אתם כישראלים יכולים להגיד דברים כאלה?

נא לתקן ולא להשמיץ
Guest
נא לתקן ולא להשמיץ

משהו נאבד בתרגום של הכתבה מ techcrunch וכולם פה קופצים. לטענת ה”חוקרים”,Nso לא “תקפה” 30000 ישראלים (דבר הזוי למי שמכיר את היכולות וההגבלות שיש על השימוש במוצר), אלא קנו את המידע מברוקרים שמשיגים את זה מ sdk של פרסום (המידע שנאסף ע”י פרסומות וגורם לטרגוט של פרסומות). במידע שכזה אין שום פרטים אישיים של בעל המכשיר למעט מידע של מיקום (לא ב realtime) ומידע היוריסטי שמנסה לנחש גיל,העדפות וכו. אם יש למישהו טענות על איסוף מידע פרטי שלו שיפנה ל google , Facebook ו apple שמאפשרים ל sdk האלה לפרוח (למרות ש apple מתחילה להגביל אותם עכשיו).

wpDiscuz

תגיות לכתבה: