پگاسوس: سلاح پنهان علیه حریم خصوصی

جاسوس‌افزار پیشرفته‌ای به نام پگاسوس، ساخته‌شده توسط شرکت NSO Group اسرائیل، به ابزاری برای نظارت بر روزنامه‌نگاران، فعالان حقوق بشر و سیاستمداران در سراسر جهان تبدیل شده است؛ ابزاری که با سوءاستفاده از آسیب‌پذیری‌های امنیتی، بدون نیاز به حتی یک کلیک، به اعماق گوشی‌های هوشمند نفوذ می‌کند.

به گزارش افتانا، در یک پرونده امنیتی پرمخاطب که از سال ۲۰۱۶ تاکنون توجه جهانیان را به خود جلب کرده، نام «پگاسوس» بیش از هر چیز به عنوان نماد جاسوسی دیجیتال پیشرفته مطرح شده است. این جاسوس‌افزار، که توسط شرکت اسرائیلی NSO Group توسعه یافته، در ابتدا با ادعای کمک به دولت‌ها برای مقابله با تروریسم عرضه شد. اما تحقیقات رسانه‌ای و نهادهای حقوق بشری نشان می‌دهد که پگاسوس فراتر از مرزهای قانونی عمل کرده و حریم خصوصی هزاران نفر را در سراسر جهان نقض کرده است.

یکی از ویژگی‌های خطرناک پگاسوس، قابلیت نفوذ Zero-click است؛ به این معنا که کاربر حتی نیازی به کلیک روی لینک یا باز کردن فایل ندارد. پگاسوس از روش‌های پیشرفته دیگری مانند Spear phishing یا همان ارسال لینک‌های آلوده از طریق پیامک یا ایمیل و استفاده از آسیب‌پذیری‌های روز صفر (Zero-day vulnerabilities) هم برای نفوذ به گوشی‌های هوشمند استفاده می‌کند. این جاسوس‌افزار کاربران گوشی‌هایiOS (اپل) و Android را هدف می‌گیرد و امکان دور زدن اغلب آنتی‌ویروس‌ها و فایروال‌ها را نیز دارد و قابلیت دسترسی کامل به تماس‌ها، پیام‌ها، ایمیل‌ها، فعال‌سازی میکروفن و دوربین بدون اطلاع کاربر رهگیری مکان و استخراج فایل‌ها و رمزهای عبور را داراست.

دنیای فناوری در برابر پگاسوس
تحقیقات مشترک نهادهایی مانند Amnesty International و رسانه‌هایی همچون واشنگتن پست و گاردین نشان می‌دهد پگاسوس در نظارت بر افراد مشهوری استفاده شده است. از جمله جمال خاشقجی، روزنامه‌نگار سعودی که پیش از قتلش، ارتباطات خانواده‌اش توسط پگاسوس رصد شده بود و امانوئل مکرون، رئیس‌جمهور فرانسه که شماره او در فهرست احتمالی اهداف جاسوسی قرار داشته است. فعالان حقوق بشر در بحرین، مراکش، هند و مکزیک و روزنامه‌نگاران الجزیره، نیویورک تایمز و سایر رسانه‌های مستقل در فهرست قربانیان پگاسوس جای می گیرند.

در پی افشای استفاده گسترده از پگاسوس، شرکت اپل در اقدامی کم‌سابقه علیه NSO شکایت و اعلام کرد کاربران آلوده را مطلع خواهد کرد. همچنین، دولت ایالات متحده در نوامبر ۲۰۲۱ این شرکت را در لیست سیاه تجاری قرار داد. سازمان ملل متحد نیز نسبت به «فروش بی‌ضابطه» این نوع فناوری‌ها هشدار داد و خواستار ممنوعیت صادرات جاسوس‌افزارها بدون نظارت حقوقی شد.

در نوامبر ۲۰۲۱، شرکت اپل در یک اقدام بی‌سابقه حقوقی علیه NSO Group، به دادگاه فدرال ایالات متحده شکایت کرد. این شکایت به دنبال افشای استفاده از پگاسوس برای نفوذ به آیفون‌ها از طریق آسیب‌پذیری‌های امنیتی به ویژه در iMessage صورت گرفت.
اپل در این شکایت، ادعا کرد که NSO Groupبه طور غیرقانونی به سرورهای اپل و دستگاه‌های آیفون نفوذ کرده است. از یک حمله بسیار پیچیده به نام FORCEDENTRY بهره برده است که به صورت zero-click کار می‌کرد و قوانین ایالات متحده، از جمله قانون کلاهبرداری و سوءاستفاده رایانه‌ای (CFAA) را نقض کرده است. اپل همچنین اعلام کرد که هدفش از این شکایت منع NSO Group از استفاده از هرگونه نرم‌افزار، سرویس یا فناوری اپل و ایجاد سابقه حقوقی برای مقابله با شرکت‌هایی است که با «فناوری‌های نظارتی تحت حمایت دولت» به حقوق کاربران تجاوز می‌کنند.

هم‌زمان با طرح این دعوی، اپل اعلام کرد که در صورت شناسایی تلاش برای آلوده‌سازی دستگاه‌های کاربران به پگاسوس، به آن‌ها هشدارهای رسمی از طریق ایمیل اعلان درون سیستم iOS و پنل حساب Apple ID ارسال خواهد کرد. همچنین اپل یک صفحه رسمی پشتیبانی برای راهنمایی کاربران مشکوک به آلوده شدن راه‌اندازی کرد. شکایت اپل بخشی از فشار جهانی بر NSO بود. کریگ فدریگی، معاون ارشد بخش مهندسی نرم‌افزار اپل، در بیانیه‌ای گفت: بازیگران دولتی که پشت این حملات هستند، هزینه‌ای به مراتب کمتر از آنچه برای انجام چنین حملاتی لازم است می‌پردازند. این باید متوقف شود.

گوگل و مایکروسافت نیز از شکایت اپل حمایت علنی کردند. برد اسمیت، رئیس هیئت مدیره مایکروسافت در این مورد گفت: ما به شدت از اقدام اپل حمایت می‌کنیم. شرکت‌هایی مانند NSO باید مسئول سوءاستفاده از فناوری‌های نظارتی خود باشند. بدون نظارت جدی، این صنعت آسیب‌زاست.

پیش از آن نیز واتس‌اپ (متا) در سال ۲۰۱۹ از NSO شکایت کرده بود. پرونده‌ای که سرانجام پس از 6 سال فراز و فرود،به نتیجه رسید و به تازگی دادگاهی در آمریکا شرکت اسراییلی NSO Group را به دلیل نفوذ غیرقانونی به واتس‌اپ و جاسوسی از کاربران، به پرداخت جریمه‌ ۱۶۸ میلیون دلاری به متا محکوم کرد.

نگاه‌ها و نگرانی‌ها
Agnes Callamard دبیرکل سازمان عفو بین‌الملل و گزارشگر سابق سازمان ملل در امور اعدام‌های فراقانونی، پگاسوس را ابزاری معرفی کرد که به دولت‌ها اجازه می‌دهد افراد را به طور مخفیانه و غیرقانونی ردیابی کنند. استفاده از آن علیه خبرنگاران و فعالان، تهدیدی جدی برای آزادی بیان است.

ادوارد اسنودن، اافشاگر برنامه‌های جاسوسی NSAدر این باره گفت: NSO فقط یکی از نمونه‌هاست. این صنعت باید متوقف شود. این شرکت‌ها آزادی‌های مدنی را با فروش ابزارهای نظارتی در سراسر جهان تهدید می‌کنند.

اسنودن در مصاحبه با گاردین تاکید کرد که صنعت جاسوس‌افزارها «قابل تنظیم و کنترل نیست، بلکه باید به‌طور کامل منحل شود.»

واشنگتن پست (Washington Post) در سرمقاله‌ای در پی افشای پروژه پگاسوس ابزارهایی مانند پگاسوس را تهدیدی برای روزنامه‌نگاری آزاد در جهان برشمرد که اگر دولت‌ها جلوی این نوع فناوری‌های نظارتی را نگیرند، هیچ خبرنگاری در امنیت نخواهد بود.

وزارت بازرگانی آمریکا در بیانیه‌ای رسمی (نوامبر ۲۰۲۱) هنگام قرار دادن NSO در لیست سیاه تشریح کرد: فعالیت‌های NSO بر خلاف سیاست خارجی و منافع امنیت ملی ایالات متحده است. فناوری آن‌ها در سرکوب، نظارت، و آسیب به شهروندان، فراتر از مرزهای قانونی عمل کرده است.

رون دیبر، بنیان‌گذار و مدیر مرکز Citizen Lab هم شرکت NSO Group بخشی از صنعت جاسوس‌افزار خصوصی دانست و گفت: تقریباً هیچ نظارتی روی آن وجود ندارد. گزارش‌های ما نشان می‌دهد که قربانیان معمولاً فعالان حقوق بشر، وکلا و روزنامه‌نگاران هستند—not تروریست‌ها.

راه چاره چیست؟
برای مقابله با تهدید پگاسوس، ابزارهایی چون Mobile Verification Toolkit (MVT) توسط عفو بین‌الملل معرفی شده‌اند که به کاربران امکان بررسی نشانه‌های آلودگی را می‌دهد. همچنین، رعایت اصول امنیت دیجیتال مانند به‌روزرسانی سیستم‌عامل، استفاده از پیام‌رسان‌های امن و پرهیز از کلیک روی لینک‌های ناشناس توصیه می‌شود.

پگاسوس نماد نسل جدیدی از جنگ‌های سایبری است که مرز بین نظارت قانونی و نقض حقوق فردی را محو می‌کند. با گسترش فناوری‌های مشابه توسط شرکت‌هایی از کشورهای دیگر (مانند چین و روسیه)، نهادهای حقوق بشری و قوانین بین‌المللی نیازمند بازنگری جدی و فوری هستند. جاسوس‌افزار پگاسوس نمایانگر قدرت و خطر فناوری‌های نظارتی است. در حالی که هدف اولیه آن امنیت بوده، اما سوءاستفاده گسترده از آن به مسئله‌ای جهانی تبدیل شده است. مقابله با این تهدید نیازمند همکاری بین‌المللی، شفافیت شرکت‌های فناوری و آموزش کاربران است.