החזירו אותם הביתה עכשיו

ב.4 חולשות, מהימנות ואמינות של טכנולוגיות חדירה למכשירים חכמים

כמתואר בחלקים הקודמים, הכלים הפורנזיים לחילוץ ולעיבוד מידע ממכשירים חכמים כגון אלו של Cellebrite ו-NSO מנצלים חולשות אבטחה במערכת ההפעלה, בחומרה, באמצעי התקשורת או בתוכנה  של מערכות המחשבים והטלפונים הניידים כדי לשבש או לעקוף את מנגנוני הנעילה והאבטחה המובנים שלהם. בדומה, גם מרכיבי התוכנה  של הכלים הפורנזיים לחיקור טלפונים ניידים שרשויות החקירה משתמשות בהם עשויים לכלול חולשות שאינן ידועות למפתחים או למפעילים של הכלים הפורנזיים.

לדוגמה, בשנת 2021 תועדו חולשות אבטחה בכלים UFED ו-Physical Analyzer (של חברת סלברייט, הנמצאים בשימוש גם בישראל) שאפשרו לבעל מכשיר הטלפון הנייד לשבש את פעילותו התקינה של תהליך חילוץ ועיבוד המידע.[49] חולשות האבטחה שהתגלו בכלים נפוצים אלו היו רחבות ומטרידות בהיקפן עבור טכנולוגיה פורנזית להפקת ראיות. החמורה ביותר נבעה מכך שסביבת התוכנה של מערכת UFED מסתמכת על חבילות קוד חיצוניות לעיבוד קובצי מדיה בקידוד הנפוץ mpeg שלא עודכנו בסביבת התוכנה של הכלים UFED ו-Physical Analyzer  מאז שנת 2012, למרות מאות עדכוני אבטחה שפורסמו לחבילה זו מאז. כלומר, כלי סלברייט היו חשופים לכאורה לחולשות אבטחה מרובות וידועות שהתגלו בחבילת הקוד הנפוצה הזו במרוצת השנים.

חולשות אלו, כפי שתועדו בשנת 2021, אפשרו למי שהכיר אותן להכין קובץ שנחזה לפריט מדיה רגיל ושאותו ניתן להפיץ ולשמור על גבי טלפונים ניידים ומכשירים חכמים, אך למעשה מכיל קוד שיופעל בכלים הפורנזיים של סלברייט כאשר יעבדו את הקובץ. באופן זה, מומחי אבטחה הדגימו כיצד ניתן לנצל חולשת אבטחה זו כדי לשבש או לשנות את הדו"ח הפורנזי של הסריקה ואף את הנתונים של מכשירים אחרים השמורים במערכת, לרבות מכשירים עתידיים. בכלל זה, ניתן לשנות את פרטי הדו"חות הפורנזיים של כלל המכשירים במערכת, לרבות הוספה או הסרה של טקסט, דוא"ל, תמונות, אנשי קשר ועוד.

למותר לציין כי ממצאים אלו מעוררים דאגה בנוגע למהימנות הממצאים הפורנזיים שהופקו באמצעות הכלים UFED ו-Physical Analyzer, שבהם משתמשות גם רשויות האכיפה בישראל לאורך העשור האחרון.

כמובן, גם כלים פורנזיים לחדירה מרחוק כגון סייפן או Pegasus מבוססים על תוכנה וקוד העשויים לכלול חולשות שאינן ידועות למפתחים או למפעילים של הכלים הפורנזיים. בעיקר, הם מעוררים בעיות ראייתיות עמוקות יותר הנובעות מכך שהפעלת כלים אלו מחייבת שינוי של נתונים על גבי מכשיר היעד ללא ידיעת המשתמש כדי להסתיר את פעולתו מאמצעי אבטחת המידע המובנים במערכת ההפעלה של האמצעי, ומעיני המשתמש. העובדה כי פעילות כלים פורנזיים מסוג זה כרוכה בהכרח בשינוי הנתונים ומערכות האבטחה של מכשיר היעד מהווה שינוי דרמטי מהאופן הפסיבי שבו מתבצעת האזנת סתר מסורתית לשיחה לתקשורת בין מחשבים. זאת, כאשר אין בישראל תהליך מובנה של אישור משפטי של תקינות הפעולה של מערכות מסוג זה על ידי צד שלישי נייטרלי, בשונה ממערכות טכנולוגיות אחרות לאכיפת חוק, דוגמת אמצעי אכיפה כגון הממל"ז או מערכת א-3 שבשימוש המשטרה, שנבחנו לעומקן על ידי בתי המשפט ומומחים מטעמו. אי בחינתם המקצועית של כלי חדירה, חיפוש או האזנה שמפותחים ומתוחזקים על ידי גורמים מסחריים היא תקלה מהותית שיש להסדירה.

לכן, כל דיון נורמטיבי בהפעלת כלים כדוגמת "סייפן" נדרש להיעשות בשים לב לפוגענות הייחודית שלהם בשני מישורים: (א) חשיפת המשתמש לפגיעות סייבר אחרות, לרבות גישה למידע אישי, כתוצאה מכך שתהליך החדרת הרוגלה למכשיר היעד והסתרת פעילותה ממערכת ההפעלה או המשתמש כרוך לרוב בביטול חלק מתכונות האבטחה של מכשיר היעד. (ב) אמינות הראיות וחשש ל"זיהום" של הנתונים המקוריים: הצורך להסתיר את פעולת ההדבקה והעברת המידע באמצעותה מוביל לכך שכלים כדוגמת סייפן או Pegasus חייבים לשנות את התיעוד האוטומטי (log) במערכת ההפעלה או במערכת הקבצים של מכשיר היעד, מה שעשוי ליצור קושי ראייתי, עוד לפני החשש כי גורמי החקירה יכולים ליזום פעולות תקשורת בשם בעל המכשיר או לשנות את תוכנו באופן נסתר.

על רקע זה, ניתן להסיק כי השימוש העיקרי של כלים כדוגמאת "סייפן" על ידי משטרת ישראל, הוא כמקור למידע מודיעיני (שאינו כפוף לדיני הראיות בהיבטי קבילות או משקל), להבדיל מכלי Cellebrite שתוצריהם מוגשים לעיתים קרובות כראיה בהליכים פליליים.

מקורות

[49] Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective (21.4.2021) (link).