23 maj 2019

Hakovanje aplikacije WhatsApp: globalni problem narušavanja privatnosti?

Nedavno ste imali propušten poziv na aplikaciji WhatsApp?

Nekoliko dana nakon što je objavljena vest o navodnom ruskom špijuniranju Norveške uz pomoć šarmantnog belog kita, svedoci smo slične, mada ovog puta znatno ozbiljnije pretnje.

The Financial Times (FT) je u ponedelјak objavio da je u jednoj od aplikacija za dopisivanje otkrivena slabost softvera koja je omogućila instaliranje špijunskog koda Pegasus na mobilne uređaje. Šta je zastrašujuće u ovoj vesti? Korisnik nije morao čak ni da odgovori na poziv, niti da „klikne“ na propušteni poziv a kôd bi bio prenet na telefon da korisnik zapravo i nije preduzeo nikakvu radnju kojom bi to izveo. I da, vaš iPhone je mogao da bude zaražen, baš kao i bilo koji Android uređaj. 

U roku od nekoliko minuta podaci poput vaših privatnih poruka, istorije pretraživanja ili lokacije mogli su biti poslati na neki računar na drugom kraju sveta. Štaviše, Pegasus omogućava napadaču da uklјuči kameru i mikrofon, i tako vas učini metom pogodnom za špijuniranje uživo.

WhatsApp, u vlasništvu Fejsbuka (Facebook), jedna je od najpopularnijih aplikacija za dopisivanje koju koristi milijardu i po korisnika širom sveta. Aplikacija je često hvalјena zbog “end-to-end” enkripcije za poruke i audio-pozive ili, kako sami kažu: „Privatnost i sigurnost su u našoj DNK, zbog čega imamo end-to-end enkripciju.“ WhatsApp je do saznanja o špijunskom softveru došao početkom maja, a ubrzo potom, već 13. maja, lansirao je ažuriranu verziju aplikacije, hitno pozivajući korisnike da je instaliraju što pre i tako se osiguraju od virusa.

Ko je stvorio virus?

Entitet koji je razvio Pegasus je izraelska obaveštajna kompanija, NSO grupa. U saopštenju za The Financial Times, NSO je objasnio:

NSO ni pod kakvim okolnostima ne bi bio uklјučen u upotrebu ili identifikaciju cilјeva svoje tehnologije, kojom upravlјaju isklјučivo obaveštajne i bezbednosne službe. NSO ne bi, odnosno ne bi mogao da koristi sopstvenu tehnologiju za špijuniranje bilo koje osobe ili organizacije.

Iako sâm softver nije nov, Pegasus je unapređen na takav način da izraelsko Ministarstvo odbrane (MO) reguliše njegovu prodaju. Zahvaljujući ovom virusu, tajanstvena kompanija (koja je tek nedavno dobila svoju internet stranicu) uspela je da postigne neverovatnu tržišnu vrednost u visini od oko milijardu američkih dolara.

Prethodni slučajevi narušavanja privatnosti

NSO se suočavao s pravnim sporovima i pre ovog incidenta. Grupa meksičkih novinara, vladinih kritičara i jedan saudijski disident koji živi u Kanadi podneli su tužbu protiv NSO, tvrdeći da „kompanija snosi odgovornost za zloupotrebu svog softvera od strane klijenata“. Tužiocima je u podnošenju tužbe u ovom postupku pomogao britanski advokat za lјudska prava čiji je telefon takođe bio meta virusa.

Bilo kako bilo, i WhatsApp takođe pruža osnov za sumnju u pogledu poštovanja privatnosti. U februaru 2019. godine, nemačko telo nadležno za zaštitu konkurencije – Bundeskartellamt, zabranilo je Fejsbuku da korisničke podatke prikupljene putem WhatsApp-a i drugih platformi koje ima u svom vlasništvu dodeljuje korisničkim nalozima na Fejsbuku bez saglasnosti korisnika.

Podsećamo, Fejsbuk je već bio izložen oštrim kritikama tokom tzv. skandala Cambridge Analytica, kada su lični podaci korisnika upotrebljeni za procenu glasačkih preferencija američkih građana, i to bez njihovog pristanka. Ovaj incident imao je za posledicu sprovođenje istrage i pozive da se Fejsbuk „razbije“. 

Reakcije

Incident sa WhatsApp-om zadobio je i pažnju jedne od najvećih svetskih nevladinih organizacija koja se bavi zaštitom ljudskih prava – Amnesty International, koja je ponovo izrazila podršku u vezi sa tužbom podnetom protiv izraelskog MO zbog odluke da ne oduzme izvoznu dozvolu kompaniji NSO. Ovo nije prvi „susret“ dvaju subjekata, s obzirom na to što je avgusta 2018. godine član osoblja Amnesty International bio meta Pegasus-a, kog takođe povezuju i s napadima na aktiviste i novinare u Saudijskoj Arabiji, Meksiku i Ujedinjenim Arapskim Emiratima.

Postoji li rešenje?

Ranjivost društvenih mreža svakako nije novost. Aleks Stamos (Alex Stamos), bivši šef odeljenja za sajber bezbednost kompanije Fejsbuk, objašnjava:

Sigurno da ne možemo u potpunosti iskoreniti svetsku trgovinu ofanzivnim tehnologijama koje se koriste protiv aktivista i novinara, ali ono što možemo jeste da probamo da učinimo da takva trgovina na otvorenom i sa američkim entitetima postane nepreporučljiva“.

Čini se da je ranjivost platformi jedna od mnoštva briga koje korisnici imaju. Poverenje korisnika u WhatsApp kao bezbednu platformu za komunikacije može biti dalje poljuljano ne samo zbog najnovijeg incidenta već i zbog ranije prakse. Problemi u domenu privatnosti, bilo da potiču od spoljnjeg softvera ili od same platforme, imaju efekte koji prevazilaze jurisdikcije pojedinih država.

Globalni karakter posledica takvog narušavanja bezbednosti ukazuje na turbulentnu budućnost. Ostaje da se vidi da li će vlade država i stručnjaci koji rade za društvene mreže biti sposobni da se suprotstave nezakonitom softverskom nadzoru i spreče dalje probleme u vezi sa privatnošću korisnika.

Relevantnost za Srbiju

Nakon devetomesečnog perioda adaptacije, novi Zakon o zaštiti podataka o ličnosti zasnovan  na GDPR-u započeće s primenom od avgusta 2019. godine. S tim u vezi, ostaje da se vidi da li će Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti u Srbiji započeti s  proverama u vezi s načinom na koji tehnološki giganti štite podatke o ličnosti svojih korisnika, u cilju sprečavanja incidenata sličnih ovom sa WhatsApp-om.

Uz to, imajući u vidu ograničenja koja je nemačko telo za zaštitu konkurencije izreklo kompaniji Fejsbuk, u vezi sa dodeljivanjem podataka prikupljenih putem WhatsApp-a i drugih platformi čiji su korisnički nalozi na Fejsbuku, nije nemoguće da srpska Komisija za zaštitu konkurencije preduzme korake da spreči potencijalnu zloupotrebu ogromne tržišne moći koju poseduju tehnološki giganti.

U svakom slučaju, budući da korisnički podaci postaju jedan od najznačajnijih delova imovine savremenih kompanija, tela nadležna za zaštitu podataka o ličnosti i za zaštitu konkurencije suočavaće se sa sve više zajedničkih problema. Ostaje da se nadamo da će oni svi zajedno uspeti da ulože združene napore i korisnicima pruže najbolju moguću zaštitu.