Eddig csak idegesítőek voltak a személyre szabott reklámok, most már félnünk is kell tőlük

A Pegasus-botrány és a Candiru nevű cég magyar kormány által is használt eszköze után nyilván senkinek nem kell bemutatni az izraeli kémszoftvereket, amelyekkel elképesztően hatékonyan és észrevétlenül lehet kémkedni bárki után. Az is köztudott, hogy a nagy techcégek és az online hirdetők gyakorlatilag mindent tudnak rólunk, ez pedig csak két okból nem érződik hihetetlenül disztópikusnak. Egyrészt mert az identitásunk titokban marad, másrészt pedig mert a legnagyobb ebből származó kárunk az, hogy olykor kényelmetlenül személyes reklámokat kapunk az interneten.

Az izraeli Háárec friss cikke szerint ez utóbbiban most már nem lehetünk biztosak, mert több izraeli cég is olyan technológiát fejlesztett ki, amellyel sosem látott módon lehet kémkedni emberek milliói után.

A járvány árnyékában egész iparág épült arra, hogy kémprogramokat ültessenek be teljesen hétköznapinak tűnő hirdetésekbe, ezzel nyomkövetővé, sőt, kiberfegyverré alakítva őket. Az ügy középpontjában egy eddig ismeretlen, Insanet nevű cég és az általa fejlesztett Sherlock áll, amelyre legalább egy nem demokratikusan működő ország már le is csapott. A Sherlockban nemcsak az az ijesztő, hogy minden platform ellen bevethető, hanem az is, hogy a sebezhetőségeket kihasználó korábbi kémprogramokkal ellentétben jelenleg lehetetlen megállítani, és egyáltalán nem biztos, hogy a jövőben lehetséges lesz.

Hogy lett az online hirdetésekből nyomkövető?

Online hirdetések 1994 óta léteznek, és ahogy arra az idén 25 éves Google történetét összefoglaló cikkünkben is utaltunk, évtizedek óta az internetes gazdaság rendkívül jövedelmező gerincének számítanak. Manapság a digitális marketing rendkívül összetett, a hirdetők és a hirdetéseket árusító gigacégek mellett vállalatok és szolgáltatások ezrei gyűjtik, elemzik és optimalizálják a felhasználóktól begyűjtött adatokat, hogy három másodperccel azután már áfonyás joghurtokról szóló reklámokat kapjunk, hogy arra gondoltunk, jólesne betolni egyet uzsonnára.

Ahogy azt nyilván mindenki tudja, a legnagyobb online szolgáltatások, mint a Gmail vagy a Facebook, azért lehetnek ingyenesek, mert az ott önként és dalolva átadott adataink rendkívül értékesek a hirdetők számára. Így aztán nem meglepő, hogy egész iparág épült fel az adataink kezelése köré, amire általában csak AdTechként szoktak hivatkozni. Igazából az is logikus, hogy ezen belül létrejött a jóval kevésbé ismert AdInt, amely a begyűjtött adatokat hírszerzői oldalról közelíti meg, elvégre attól még, hogy ezek nem köthetők konkrét személyekhez, elképesztő mennyiségű információt lehet belőlük megtudni.

A rendszer röviden összefoglalva úgy néz ki, hogy minden telefonnak van egy saját reklámazonosítója, amely alatt adatot gyűjtenek rólunk, hogy célzott hirdetésekkel tudjanak minket bombázni. A hirdetők nem férnek hozzá a személyes adatainkhoz, így visszaélni sem tudnak velük, de a jogszabályoknak mindenben megfelelő adatgyűjtés is hasznos lehet hírszerzői információként. Jó példa erre, hogy azonosítani és követni lehet például minden eszközt, amely egy adott időpontban egy adott reptéren volt, ha azon akár csak egyszer megnyitottak egy olyan alkalmazást, ahol reklámok jelentek meg. Ez a járvány alatt alkalmas volt a koronavírus terjedésének követésére, amit egy Intelos nevű izraeli cég a gyakorlatban is megcsinált.

A cég az AdHoc nevű szoftverét rendfenntartó erőknek és magáncégeknek is árulja, miután pedig kereskedelmi forgalomban megszerezhető adatokról van szó, különleges szabályozások sem vonatkoznak rá.

Eközben viszont egyértelmű, hogy sokkal szűkebb kört is meg lehet célozni egy folyamatos követést lehetővé tevő reklámkampánnyal. A reklámazonosítót Androidon és iOS-en is ki lehet kapcsolni, utóbbi esetben 2021 óta külön jóvá kell hagyni a követést, de hiába okozott ez több milliárd dolláros bevételkiesést a legnagyobb cégeknek az elmúlt két évben, az internetes reklámbevételek azóta is szédületes tempóban nőttek. Az tehát nyilvánvaló, hogy továbbra is rengeteg emberről lehet ezen keresztül részletes információkat szerezni, majd azokat teljesen legálisan felhasználók követésére felhasználni.

Hogy lett a nyomkövetőből kiberfegyver?

Egy AdIntben dolgozó szakember a Háárecnek azt mondta, a két legnagyobb játékos, a Google és az Apple lényegében egy hatalmas kémrendszert hoztak létre, és közben reménykedtek abban, hogy ez senkinek nem fog feltűnni. Persze ahogy az jól látszik, az utóbbi években számos cég tűnt fel, amelyek ki tudják használni ezt, a kontaktkutatáson bőven túlmutató feladatokra is. Iparági források szerint az igazán sikeres cégek az AdIntben mind be vannak csatornázva valahogy az online reklámpiacra, sokszor úgy, hogy van egy saját reklámcégük. Ilyen például a kifejezést meghonosító Rayzone, amely

alapjáraton magáncégeknek árulja az Echo nevű termékét, de állítólag egy hivatalos izraeli szerv is érdeklődött már iránta, hogy palesztinokat figyeljenek meg vele.

És persze vannak olyan cégek is, akik nem állnak meg a megfigyelésnél, hanem egészen konkrétan kémprogramokat vagy más, rosszindulatú szoftvereket tartalmazó időzített bombákká alakítanak át hirdetéseket, amellyel sokkal kiterjedtebben és részletesebben tudják megfigyelni az addig egy homogén csoportban névtelenül elvesző célpontjaikat. Ez persze nem újdonság, a Pegasus mögött álló NSO és a Candiru évek óta képesek arra, hogy anélkül férkőzzenek be a célpontjaik eszközeibe, hogy az illetőnek bármire rá kellene kattintania menet közben, van azonban egy nagyon fontos különbség a két dolog között.

Ezek a kémszoftverek általában biztonsági réseket használnak ki, amelyek ugyan gyakoribbak, mint azt a cégek szeretnék, de legalább lehet ellenük küzdeni. Az Apple nemrég javított ki egy olyan sebezhetőséget, amelyen keresztül a Pegasust terjesztették, az elmúlt években pedig több száz hasonló sérülékenységet javított ki például a Microsoft is. Itt viszont nem jogosulatlan hozzáférésről van szó, hanem arról, hogy az internet legnagyobb pénzcsinálójának nyitott ajtaján masíroznak be a kémszoftverek, amivel jelenleg nem tudni, hogy mit lehetne kezdeni, ha egyáltalán lehet bármit.

Ez a technológia tehát egy rendkívül hatékony új támadási mód azoknak a cégeknek, amelyek ebben a bizniszben utaznak, és mind meg is próbálták piacra dobni a saját, reklámokon keresztüli behatolást lehetővé tevő megoldásukat. Engedélyt viszont csak egy kapott az izraeli védelmi minisztériumtól: a 2019-ben alapított Insanet, illetve a cég Sherlock nevű szoftvere, amelyet a Candiru egy 2020-ban közzétett dokumentum szerint 6 millió eurós extraként kínált volna egy együttműködés keretében.

Sherlocktól már Izraelben is tartanak

Mindezek alapján nem nehéz belátni, hogy az Insanet kémszoftvere egészen új szintet képvisel, így némileg meglepő, hogy eleinte szinte megkötések nélkül zöld utat kapott az izraeli védelmi minisztériumtól, legalábbis az érzékeny kiberfegyvereket tekintve biztosan. Az Insanet legalább egy nagy üzletet nyélbe is ütött, azóta viszont jelentősen megvágták az engedélyüket – egyrészt mert tartottak attól, hogy a kémszoftver képességei kiszivárognak, másrészt mert nem akarták kivívni sem az amerikai kormány, sem pedig a hasonszőrű izraeli cégeket amúgy sem kedvelő, jelen esetben nagyon érzékenyen érintett techóriások haragját.

A Sherlockot jelenleg lényegében fegyverként lehet értékesíteni, komoly megkötések vonatkoznak rá, és csak nyugati országok jöhetnek szóba potenciális vásárlóként, és még ebben az esetben is külön engedélyt kell kérni a minisztériumtól. Azt ugyanakkor hozzá kell tenni, hogy a nagyrészt publikusan vagy kereskedelmi forgalomban elérhető információkra építkező AdInt-szektornál eléggé elmosódnak a határok a civil és a katonai termékek között, és bár a minisztérium a furfangosabb megoldásokat is rendre blokkolta, az évek során egyértelművé vált, hogy az Insanetnek adott engedély után nem tudja visszazárni a szellemet a palackba.

Így kapott idén engedélyt egy reklámalapú behatolást lehetővé tevő szoftverre a már emlegetett Rayzone is, amely korábban egyébként szándékosan nem fejlesztett kibertámadásra alkalmas eszközt.

A fejlemények miatt már vannak, akik szerint a katonai szoftverek helyett az egész AdInt-szektort a védelmi minisztérium ellenőrzése alá kellene helyezni, az izraeli kormány pedig főként amerikai nyomásra már évekkel ezelőtt belevágott a kibercégek megzabolázásába. A gyeplő meghúzásának viszont megvannak a hátrányai is – a legjobb izraeli hekkerek közül többen külföldre vitték a tudásukat, az Izraelben működő cégek pedig kémszoftverek helyett inkább a sebezhetőségek feltárására és árusítására fókuszálnak. Ez nemcsak gyengíti az izraeli kiberszektort, hanem annak a lehetőségét is felveti, hogy a sebezhetőségeket áruló cégek más országokkal is elkezdenek üzletelni, ezt pedig Izrael nem tudja szabályozni.

Izraelben tehát láthatóan próbálják kordában tartani az alapvetően jó szándékkal kifejlesztett technológiát, de az már korábban is többször kiderült, hogy a papíron csak terrorizmus és más bűncselekmények ellen bevethető szoftvereket a gyakorlatban kevésbé nemes célokra is felhasználják az ilyesmire fogékony kormányok, vállalatok vagy tehetős magánemberek. A Háárec kérdéseire az Insanet egyébként azt írta, hogy mindenben megfelelnek a nagyon szigorú izraeli előírásoknak.

A cikk a Háárec szeptember 14-én megjelent, „Revealed: Israeli Cyber Firms Have Developed an 'Insane' New Spyware Tool. No Defense Exists” című anyagán alapul.