Cyberbezpieczeństwo
Użytkownicy WhatsAppa inwigilowani Pegasusem. Koniec procesu
Twórcy Pegasusa odegrali swoją rolę w zhakowaniu urządzeń należących do użytkowników komunikatora WhatsApp – orzekł północnokalifornijski sąd. Sprawa wytoczona przez należący do Meta podmiot toczyła się od 2019 roku. Jest to pierwszy raz, gdy NSO Group została uznana winną działań związanych z jej narzędziem.
Sprawy związane z Pegasusem nie znikają z przestrzeni publicznej. Infekcje tym narzędziem mogą dotknąć również osoby niebędące politykami lub dziennikarzami. Na początku grudnia br. na łamach CyberDefence24 opisywaliśmy, jak firma iVerify, po przeskanowaniu 2,5 tys. smartfonów, wykryła obecność produktu NSO Group na 7 z nich.
Czytaj też
Koniec pięcioletniego procesu
Z kolei 5 lat temu, WhatsApp (którego właścicielem jest Meta) postanowił pozwać twórców Pegasusa, NSO Group. Przyczyną było zhakowanie i podsłuchiwanie komunikacji prowadzonej przez 1,4 tys. użytkowników aplikacji. Sąd Okręgowy Stanów Zjednoczonych dla Północnej Kalifornii wydał 20 grudnia br. orzeczenie w tej sprawie.
Udostępnione dokumenty wskazują, że rozpatrywano trzy zarzuty przedstawione przez powodów. Wskazywali oni na złamanie przez NSO Group Computer Fraud and Abuse Act (CFAA), kalifornijskiego Comprehensive Computer Data Access and Fraud Act (CDAFA) oraz Warunków użytkowania WhatsAppa.
Czytaj też
Zmodyfikowana aplikacja i zamiary pozwanych
W przypadku naruszenia zapisów CFAA sąd wskazał, że Pegasus został zainstalowany na urządzeniach dzięki uprzedniemu wykorzystaniu danych umieszczonych na serwerach komunikatora. Do infekcji wykorzystywano zmodyfikowaną wersję aplikacji, nazwaną WhatsApp Installation Server (WIS).
„Podczas gdy WIS pobiera informacje bezpośrednio z urządzeń docelowych użytkowników, uzyskuje również informacje o urządzeniu docelowym za pośrednictwem serwera WhatsApp” – czytamy w tekście orzeczenia.
Podobnej argumentacji użyto w przypadku zarzutu powodów o „zamiarze”. Wyjaśniali, że wartość zdobywanych informacji dowodzi chęci klientów NSO Group do zapłacenia za narzędzie szpiegujące.
„Fakt, że strona pozwana przebudowała Pegasusa w celu ominięcia wykrycia po załataniu podatności przez powodów jest wystarczające do udowodnienia ich zamiarów” – uznał sąd.
Czytaj też
NSO naruszyło Warunki użytkowania
Naruszenie kalifornijskiego prawa – w tym przypadku CDAFA – wymagało udowodnienia, że WIS obierał w swoich działaniach serwery WhatsApp w Kalifornii jako swój cel. NSO nie przedstawiło kodu źródłowego swojego oprogramowania (co uniemożliwiło pokazanie sposobu wyboru serwerów), ale sąd odwołał się do innej kwestii.
„Sankcja dowodowa jest odpowiednia, aby stwierdzić, że WIS rzeczywiście obrał na cel serwer w Kalifornii” – wyjaśniono w orzeczeniu.
Według dostępnych dokumentów pozwani mieli również twierdzić, że nie ma dowodów na wyrażenie przez nich zgody na Warunki użytkowania WhatsAppa. Sąd wskazał jednak, że bez dokonania tej czynności, stworzenie konta w komunikatorze nie jest możliwe. Uznano zatem, że faktycznie doszło do naruszenia zapisów Warunków poprzez inżynierię wsteczną lub dekompilację aplikacji WhatsApp.
Czytaj też
WhatsApp: brak tolerancji dla spyware. Odszkodowanie w przyszłym roku?
Zespół komunikatora był bardzo zadowolony z decyzji sądu. Jak wynika ze stanowiska przytoczonego przez The Record, orzeczenie jest znakiem dla firm zajmujących się spyware, że ich działania nie będą tolerowane.
„NSO nie może już dłużej unikać odpowiedzialności za bezprawne ataki na WhatsApp, dziennikarzy, działaczy praw człowieka i społeczeństwo obywatelskie” – przekazano w komunikacie. W podobnym tonie wypowiadali się także przedstawiciele organizacji antyszpiegowskich.
Sprawa przed Sądem Okręgowym dla Północnej Kalifornii nie została jeszcze definitywnie zamknięta. Teraz wymiar sprawiedliwości skupi się na kwestii zadośćuczynienia, które będzie musiało zapłacić NSO Group. Pierwszą rozprawę zaplanowano na marzec przyszłego roku.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Haertle: Każdego da się zhakować
Materiał sponsorowany