برمجيات التجسس على الموبايل: لما تليفونك يبقى أخطر جاسوس عليك

طب التليفون اللي في جيبك ده "صاحبك" ولا "جاسوس"؟

طب لو خليته جنبك في أوضة النوم؟ في اجتماعات الشغل؟ في عربيتك؟ في الحمام؟

طب لو قلتلك إن في برامج بـ 10 ملايين دولار للترخيص الواحد، بتدخل التليفون من غير ما تضغط على لينك ولا تحمّل حاجة، وبتسمعك وأنت قافله؟

اسمها Pegasus. واسمها Predator. واسمها Triangulation. ودول بس اللي اتكشفوا.

ده مش phishing. ده مش بتدخل لينك مشبوه. ده Zero-click. يعني المهاجم بيبعت لك رسالة على iMessage أو WhatsApp، وأنت مش بتشوفها أصلاً، والـ OS بيحاول يحلّلها، والثغرة بتتفعّل في الـ render. الموبايل اتفتح من غير ما تلمسه. اقتحام من غير خبط على الباب.

[!info] Zero-click — الكلمة اللي لازم تفهمها Pegasus بيقدر يخترق iPhone عبر iMessage بـ exploit chain على الـ image parsing library (FORCEDENTRY في 2021). الضحية بيستلم iMessage فيه صورة GIF ملغّمة. الـ iPhone بيحاول يـ render، الـ exploit بيشتغل، Pegasus بيتركب. الضحية ما لاحظت حاجة. مفيش notification. مفيش icon جديد. مفيش حاجة.

غلطات الـ junior في الحماية الشخصية

• بيظن إن "أنا بستخدم Signal" معناه إن مأمن. الـ Signal بيشفّر الرسالة في النقل. لو التليفون نفسه ملغّم، Pegasus بيقرا الرسالة من على الشاشة بعد فك التشفير.
• بيرفض يحدّث iOS عشان "التحديث بيقفل البطارية". والـ patch ده هو اللي بيقفل الثغرة الـ NSO اشترتها بمليون دولار.
• بيستخدم same Apple ID على iPhone وعلى iPad العائلة. الجاسوس وصل لتليفون الأم = وصل لتليفونك.
• بيفتكر إن "أنا مش مهم" عشان يتخترق. والـ data من تليفونك ممكن تكون مدخل لشخص مهم تعرفه.
• يوم ما يحسّ بحاجة، بيعمل Factory Reset فوراً. كده مسح الأدلة كلها. الـ MVT الجاي مش هيلاقي حاجة.

أشهر "الديناصورات"

Pegasus — شركة NSO الإسرائيلية

• بيتباع للحكومات بس (نظرياً).
• 700 ألف دولار للترخيص الأولي + 25 ألف لكل هدف إضافي.
• بيخترق iPhone و Android.
• استُخدم ضد صحفيين، ناشطين، حقوقيين، دبلوماسيين، رؤساء دول.
• جمال خاشقجي (المعارض السعودي) كان تليفون خطيبته مخترق بـ Pegasus قبل ما يتقتل.
• موثّق ضد ولي عهد قطر، رئيس وزراء إسبانيا، 50 صحفي في 21 دولة (Pegasus Project 2021).

Predator — شركة Intellexa اليونانية/الإسرائيلية

• منافس لـ Pegasus.
• ظهر في فضايح في اليونان (Predatorgate 2022).
• استُخدم في مصر و فيتنام و مدغشقر و عُمان و السعودية و إندونيسيا.
• Citizen Lab وثّقوا حالاته بالتفصيل.

Triangulation — Kaspersky 2023

• اكتُشف لما Kaspersky نفسها كانت ضحية. موظفينها تليفوناتهم اتخترقت.
• iOS chain فيه 4 zero-days، أحدهم في hardware (memory mapping على CPU).
• أخفى نفسه لسنوات. مايعرفش حد بالظبط لما بدأ.
• التحليل التقني نُشر في 36C3.

عمليات أخرى

• DevilsTongue / Candiru — إسرائيلية برضه. متخصصة في Windows + browsers.
• FinFisher / FinSpy — ألمانية أصلاً، استُخدمت في البحرين ومصر.
• Hermit — استُخدم ضد كازاخستان وإيطاليا.

أسطورة "أنا بستخدم Signal"

طب Signal بيشفّر آخر-لآخر، صح؟ تمام.

طب لو الجاسوس قاعد جوّا الجهاز، إيه فايدة التشفير؟ الـ Pegasus بيقرا الرسالة من الذاكرة بعد ما الـ Signal فكّ تشفيرها. هو شايف الـ keyboard input وأنت بتكتب. هو شايف الكاميرا، الميكروفون، الـ GPS، كل حاجة.

التشفير في النقل (in transit) ≠ التشفير في الاستخدام (at use). لو الـ endpoint اخترق، التشفير ما يعنيش حاجة.

الخلاصة: لو الجهاز ملغّم، مفيش تطبيق في الدنيا هيحميك. الـ Signal بيدّيك حماية ضد الجاسوس على الشبكة، مش ضد الجاسوس جوه التليفون.

إزاي تحمي نفسك (لو إنت هدف فعلاً)

1. iOS Lockdown Mode

تفعّله من الإعدادات. بيقفل:

• معظم الـ iMessage attachment types.
• JavaScript JIT في Safari.
• Mobile Device Management (MDM).
• بعض الـ wireless connections للأجهزة الجديدة.

تكلفته: شوية UX سيء. مكسبه: قفل أغلب الـ Zero-click chains اللي بتُستخدم.

Apple أعلنت إن Lockdown Mode بيوقف 90%+ من الـ exploit chains اللي شركات Mercenary بتبيعها. Pegasus بنفسها قالت إن العمليات "أصعب" على Lockdown Mode.

2. Reboot يومي

برمجيات تجسس كتير ما بتثبت في الـ persistent storage (عشان ما تتمسحش بـ forensics سهل). هي بتشتغل في الذاكرة. الـ Reboot بيمسحها. المهاجم بيحتاج يخترقك تاني.

ده بيرفع التكلفة عليه. مش بيقفل الموضوع، بس بيخلّيه أصعب.

3. تحديث فوري

أول ما يطلع iOS update فيه "security fixes"، نزّله ساعتها. الـ patches دي ساعات بتقفل ثغرة Pegasus دفعت فيها مليون دولار. كل يوم تأخير = يوم زيادة لهم.

4. اقفل iMessage لو مش محتاجه

iMessage هو أكبر جبهة على iPhone. لو إنت هدف تقيل، اقفله. استخدم Signal بس. الـ image parsing في iMessage هو السكة المفضّلة لـ Zero-click.

5. كاميرا الفيديو والميكروفون

غطّي الكاميرا لما مش بتستخدمها (فعلاً). مفيش حاجة بـ "طبعاً Apple بتراقبني؟" — مش Apple، الجاسوس اللي اخترقك.

6. اعتبر إن أي حد بيدّعي إنه CISO شركتك ومحتاج debug على تليفونك = phishing

في حالات Pegasus موثّقة بدأت بالـ MDM enrollment. "اضغط هنا عشان تشترك في برنامج الشركة الجديد". = تليفون كامل تحت تصرّف الجاسوس.

لو شككت إنك متخترق

أوعى تعمل Factory Reset. ده بيمسح كل الأدلة اللي ممكن تخلّينا نعرف مين دخل وإزاي.

اعمل بدل كده:

1. اقفل التليفون فوراً + شيل الـ SIM + حطه في Faraday bag (ولا في علبة معدنية مسكّرة).
2. ابلّغ: Citizen Lab، Amnesty Tech، أو فريق Threat Intel متخصص.
3. MVT (Mobile Verification Toolkit) — أداة Amnesty Tech مفتوحة المصدر. بتفحص الـ logs وبتدور على آثار Pegasus و Predator.

 bash
pip install mvt
mvt-ios check-backup --output results /path/to/iOS/backup
mvt-android check-backup --output results /path/to/android/backup

1. اشتري تليفون جديد بـ Apple ID جديد كاملاً. الموجود بقا محرق.

الخلاصة الناشفة

التليفون أرخى نقطة في أمنك الشخصي. ومش الأرخى تقنياً — الأرخى لأنك بتحمله معاك في كل مكان، وبتثق فيه أكتر من أي حد تاني.

بلاش تستهتر وتفتكر إنك "مش مهم" عشان تتخترق. الجواسيس بيخترقوا أمهات الناشطين، وأخوات الصحفيين، وسكرتارية الدبلوماسيين. أنت ممكن تكون "مفتاح" لشخص تاني هما عاوزينه.

الـ NSO و Intellexa و القائمة بتطول، شغّالة بـ مليارات الدولارات. مفيش technical control كامل ضدها على endpoint عادي. الحماية الفعلية بتيجي من:

• Operational discipline (إزاي بتستخدم تليفونك).
• Threat awareness (تعرف إنت مهم ولا لأ كهدف).
• Compartmentalization (تليفون شخصي ≠ تليفون شغل ≠ تليفون عمليات حساسة).

والقاعدة الذهبية: الجاسوس قاعد معاك في جيبك. لو مفيش mental model ده، الباقي مش هيفرق.