Σύμφωνα με έκθεση της Διεθνούς Αμνηστίας, η αστυνομία και οι υπηρεσίες πληροφοριών της Σερβίας χρησιμοποιούν, μεταξύ άλλων, άγνωστο μέχρι σήμερα spyware για την υποκλοπή – παράνομη παρακολούθηση δημοσιογράφων και ακτιβιστών για το περιβάλλον και τα πολιτικά δικαιώματα.
Η έκθεση δείχνει πώς χρησιμοποιούνται προηγμένα προϊόντα της ισραηλινής εταιρείας Cellebrite για να ξεκλειδώνουν και να εξάγουν δεδομένα από κινητά, τα οποία προσβάλλονται με ένα νέο σύστημα κατασκοπευτικού λογισμικού Android, το NoviSpy.
Οι σερβικές αρχές χρησιμοποιούν «την τεχνολογία παρακολούθησης και τις τακτικές ψηφιακής καταστολής ως μέσα ευρύτερου κρατικού ελέγχου και καταστολής που στρέφονται κατά της κοινωνίας των πολιτών», σύμφωνα με την Ντινούσικα Ντισαναγιάκε από την Διεθνή Αμνηστία. Η ίδια επισημαίνει ότι, βάση της έκθεσης, τα προϊόντα της Cellebrite, που χρησιμοποιούνται από υπηρεσίες πληροφοριών παγκοσμίως, μπορούν να αποτελέσουν «τεράστιο κίνδυνο» για τους ακτιβιστές, «όταν χρησιμοποιούνται εκτός αυστηρού νομικού ελέγχου».
Τα επίμαχα εργαλεία της Cellebrite επιτρέπουν την εξαγωγή δεδομένων από μια σειρά συσκευών, συμπεριλαμβανομένων των τηλεφώνων Android και iPhone, καθώς μπορούν να τις ξεκλειδώσουν χωρίς τον κωδικό πρόσβασης. Το NoviSpy, αν και τεχνικά λιγότερο προηγμένο από το περιβόητο λογισμικό κατασκοπείας Pegasus, επιτρέπει τη συγκέντρωση ευαίσθητων προσωπικών δεδομένων από το κινητό-στόχο, όπως επίσης την ενεργοποίηση του μικροφώνου ή της κάμερας ενός τηλεφώνου από απόσταση.
Στόχος υπό κράτηση
Η έκθεση καταγράφει πώς οι σερβικές αρχές χρησιμοποίησαν προϊόντα της Cellebrite για να μολύνουν με το NoviSpy κινητά δημοσιογράφων και ακτιβιστών, όταν ήταν υπό κράτηση. Ένας Σέρβος δημοσιογράφος, ο Slaviša Milanov, συνελήφθη για σύντομο χρονικό διάστημα από την αστυνομία τον περασμένο Φεβρουάριο με το πρόσχημα ελέγχου για οδήγηση υπό την επήρεια αλκοόλ. Το τηλέφωνο Android του ήταν απενεργοποιημένο, όταν το παρέδωσε και δεν του ζητήθηκε ποτέ ο κωδικός πρόσβασης. Μετά την απελευθέρωσή του, ο δημοσιογράφος παρατήρησε ενδείξεις αλλοίωσης στο τηλέφωνό του. Η ανάλυση από το εργαστήριο της Αμνηστίας έδειξε ότι προϊόν της Cellebrite το είχε ξεκλειδώσει και είχε εγκαταστήσει το NoviSpy.
Τα στοιχεία έδειξαν επίσης ότι τα προϊόντα της συγκεκριμένης εταιρίας χρησιμοποιήθηκαν για να ξεκλειδώσουν το κινητό του ακτιβιστή Nikola Ristić, το οποίο επίσης μολύνθηκε με το NoviSpy. Άλλοι ακτιβιστές, ανάμεσα στους οποίους μέλος της Krokodil, η οποία προωθεί τη συμφιλίωση των δυτικών Βαλκανίων, αποτέλεσαν στόχο.
Ο επικεφαλής του Εργαστηρίου Ασφαλείας της Αμνηστίας σχολίασε πως τα στοιχεία «αποδεικνύουν ότι το NoviSpy εγκαταστάθηκε ενώ η σερβική αστυνομία είχε στην κατοχή της τη συσκευή του Slaviša και ότι η μόλυνση εξαρτήθηκε από τη χρήση ενός προηγμένου εργαλείου όπως το Cellebrite UFED».
Η Αμνηστία ανέφερε πως είχε ενημερώσει το Android και την Google για το NoviSpy πριν τη δημοσίευση της έκθεσης και πως το spyware είχε αφαιρεθεί από τις συγκεκριμένες συσκευές Android.
«Σε παραλύει»
Οι ακτιβιστές που έγιναν στόχος του spyware Pegasus στη Σερβία επέκριναν το γεγονός. «Αυτός είναι ένας απίστευτα αποτελεσματικός τρόπος για να αποθαρρύνεις εντελώς την επικοινωνία μεταξύ των ανθρώπων», δήλωσε ένας από αυτούς, ο οποίος ζήτησε να διατηρήσει την ανωνυμία του. «Οτιδήποτε πεις μπορεί να χρησιμοποιηθεί εναντίον σου, γεγονός που παραλύει τόσο σε προσωπικό όσο και σε επαγγελματικό επίπεδο». Ένας άλλος είπε ότι το αποτέλεσμα είναι «είτε να επιλέγεις την αυτολογοκρισία είτε να είσαι ανεξάρτητος – οπότε πρέπει να είσαι έτοιμος να αντιμετωπίσεις τις συνέπειες».
Η Cellebrite δεν έδωσε καμία απάντηση ή σχόλιο στην έκθεση, η οποία της απεστάλη πριν από τη δημοσίευση, δήλωσε η Αμνηστία. Οι σερβικές αρχές ομοίως δεν απάντησαν σε αιτήματα για σχολιασμό. Προηγουμένως, κατά τη διάρκεια της έρευνας, η ισραηλινή εταιρεία έστειλε στην Αμνηστία μια σύντομη απάντηση στην οποία ανέφερε ότι δεν ήταν εταιρεία παρακολούθησης και δεν παρείχε τεχνολογία κυβερνοεπιτήρησης ή κατασκοπευτικό λογισμικό.
Η Cellebrite δήλωσε ότι το προϊόν της ήταν μια «ψηφιακή πλατφόρμα έρευνας [που] εξοπλίζει τις υπηρεσίες επιβολής του νόμου με την τεχνολογία που απαιτείται για την προστασία και τη διάσωση ζωών, την επιτάχυνση της δικαιοσύνης και τη διατήρηση της ιδιωτικότητας των δεδομένων».
Πρόσθεσε ότι τα προϊόντα της «αδειοδοτούνται αυστηρά για νόμιμη χρήση, απαιτούν ένταλμα ή συγκατάθεση για να βοηθήσουν τις υπηρεσίες επιβολής του νόμου με νομικά εγκεκριμένες έρευνες μετά την τέλεση ενός εγκλήματος».
Αδικαιολόγητη κατάχρηση
Η Αμνηστία απάντησε ότι, ενώ αυτή μπορεί να είναι η προβλεπόμενη χρήση των προϊόντων, η έρευνά της έδειξε σαφώς ότι θα μπορούσαν να χρησιμοποιηθούν καταχρηστικά «για να επιτρέψουν την ανάπτυξη κατασκοπευτικού λογισμικού και την ευρεία συλλογή δεδομένων από κινητά» για ποινικές έρευνες, για τις οποίες δεν υπάρχει σχετική έγκριση.
Η ΜΚΟ σημείωσε πως η Cellebrite και οι αντίστοιχες εταιρείες «πρέπει να διεξάγουν επαρκή δέουσα επιμέλεια για να διασφαλίσουν ότι τα προϊόντα τους δεν χρησιμοποιούνται με τρόπο που συμβάλλει στην καταπάτηση των ανθρωπίνων δικαιωμάτων».
