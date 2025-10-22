Apple skickade en hotnotis till en utvecklare som tidigare arbetade med övervakningsteknik, och varnade honom för en riktad attack med legosoldatsspionprogram mot hans iPhone.
Mannen byggde spionprogram – blev själv attackerad av det
En utvecklare som tidigare arbetat med att ta fram övervakningsteknik för statliga hackverktyg hos företaget Trenchant fick i mars i år ett oväntat meddelande från Apple. Meddelandet, som dök upp på hans privata telefon, löd:
“Apple har upptäckt en riktad attack med legosoldatsspionprogram mot din iPhone.”
Jay Gibson, som av rädsla för repressalier bad att få vara anonym, berättade för TechCrunch att han fick panik. Gibson, som fram till nyligen byggde exploateringsverktyg och spionprogram för västerländska regeringar, kan vara det första dokumenterade fallet där någon som utvecklar dessa verktyg själv har blivit måltavla för ett spionprogram, skriver TechCrunch.
“Vad sjutton är det som händer? Jag visste verkligen inte vad jag skulle tro,” sa Gibson, och tillade att han omedelbart stängde av telefonen den dagen, den 5 mars.
“Jag gick genast och köpte en ny telefon. Jag ringde min pappa. Det var en röra. En stor röra.”
Arbetade med “zero-days”
På Trenchant arbetade Gibson med att utveckla så kallade iOS zero-days, vilket innebär att hitta sårbarheter och utveckla verktyg för att utnyttja dem. Dessa sårbarheter är okända för den som tillverkar den berörda hård- eller mjukvaran, som i detta fall Apple.
“Jag har blandade känslor av hur patetiskt det här är, och sedan extrem rädsla eftersom när saker når denna nivå vet man aldrig vad som kommer att hända,” sade han.
Gibson kan dock inte vara ensam.
Enligt tre källor med direkt kännedom om liknande fall har andra utvecklare av exploitverktyg och spionprogram de senaste månaderna fått notiser från Apple om att de utsatts för liknande attacker.
Apple avböjde att kommentera för TechCrunch.
Angreppet mot Gibsons iPhone visar att spridningen av zero-days och spionprogram nu börjar drabba fler typer av offer. De som tillverkar dessa verktyg har historiskt hävdat att deras lösningar endast används av granskade statliga kunder mot kriminella och terrorister.
Forskare har dock under det senaste årtiondet hittat dussintals fall där regeringar använt dessa verktyg för att rikta in sig på dissidenter, journalister, mänskliga rättighetsförsvarare och politiska rivaler över hela världen.
Misstänkt i läcka
Två dagar efter att ha mottagit Apples hotnotis kontaktade Gibson en forensisk expert med stor erfarenhet av att utreda spionprogramattacker.
Även om en initial analys inte hittade några tecken på infektion, rekommenderades en djupare analys, vilket skulle ha inneburit att Gibson skickade en fullständig säkerhetskopia av sin enhet – något han var obekväm med.
“De senaste fallen blir tuffare att utreda, och i vissa hittar vi ingenting. Det kan också vara så att attacken faktiskt inte fullföljdes efter de inledande stegen, vi vet inte,” berättade experten för TechCrunch.
Utan en fullständig forensisk analys är det omöjligt att veta varför eller vem som riktade in sig på Gibson.
Han tror dock att notisen från Apple har koppling till omständigheterna kring hans uppsägning från Trenchant, där han hävdar att företaget utsåg honom till syndabock för en skadlig läcka av interna verktyg.
Apple skickar ut hotnotiser specifikt när de har bevis för att en person har blivit måltavla för en legosoldatsspionattack. Denna typ av övervakningsteknik planteras ofta osynligt och på distans på någons telefon genom att utnyttja sårbarheter i programvaran – exploateringar som kan vara värda miljontals svenska kronor och ta månader att utveckla.
Rättsväsende och underrättelsetjänster har vanligtvis laglig rätt att använda spionprogram, inte tillverkarna själva.
Anklagades för dubbelanställning
En månad innan han fick Apples hotnotis blev Gibson, medan han fortfarande arbetade på Trenchant, kallad till företagets Londonkontor.
När han anlände den 3 februari kallades han omedelbart in till ett möte via videosamtal med Peter Williams, Trenchants dåvarande vd – känd internt som “Doogie”.
Williams sade till Gibson att företaget misstänkte att han hade en dubbelanställning och därmed stängde av honom. Alla Gibsons arbetsenheter skulle konfiskeras och analyseras som en del av en intern utredning.
“Jag var i chock. Jag visste inte riktigt hur jag skulle reagera eftersom jag inte riktigt kunde tro vad jag hörde,” sa Gibson.
Ungefär två veckor senare ringde Williams och sa att efter utredningen skulle företaget sparka honom och erbjuda ett uppgörelseavtal och betalning. Williams avböjde att förklara vad den forensiska analysen av hans enheter hade funnit och sade i princip att Gibson inte hade något annat val än att skriva under avtalet.
Eftersom han kände att han inte hade något alternativ, gick Gibson med på erbjudandet och skrev under.
Gibson fick senare höra från före detta kollegor att Trenchant misstänkte att han hade läckt okända sårbarheter i Googles webbläsare Chrome, verktyg som Trenchant hade utvecklat.
Gibson, och tre före detta kollegor till honom, sade dock att han inte hade tillgång till Trenchants Chrome zero-days, eftersom han var en del av teamet som exklusivt utvecklade iOS zero-days och spionprogram.
“Jag vet att jag var en syndabock. Jag var inte skyldig. Det är väldigt enkelt,” sade Gibson.
“Jag gjorde absolut ingenting annat än jobbade häcken av mig för dem.”
Berättelsen om anklagelserna mot Gibson och hans efterföljande avstängning och uppsägning bekräftades oberoende av tre före detta anställda på Trenchant.
Åsa Wallenrud är en driven och erfaren motorjournalist med en stark passion för bilvärlden och teknik, gärna i kombination. Arbetat med varumärken som TV4 Nyhetsmorgon, Facit, M3, Lilla Gumman, Hem och Villamässor, Blocket, Byt Bil mfl. Har du en bra historia? Maila mig [email protected]
