今年5月,脸书修补了WhatsApp一个CVE-2019-3568安全漏洞,当时媒体报道已有黑客利用该漏洞于WhatsApp用户的设备上植入Pegasus间谍程序,本周WhatsApp负责人Will Cathcart借由华盛顿邮报的《意见》版面对外宣布,脸书与WhatsApp已经控告了打造Pegasus的以色列黑客公司NSO Group。
NSO Group为一从事网络情报工作的以色列公司,主要提供协助政府打击恐怖与犯罪的技术,然而,市场纷传许多极权政府利用该公司所打造的各种攻击工具来对抗反对它们的人权捍卫者或新闻记者,其中的Pegasus还被誉为史上最高明的间谍程序,可用来监控受害者的行动与搜集设备上的所有信息。
Cathcart表示,当初那个漏洞藏匿在WhatsApp的视频功能中,受害者会收到一通显示为视频的电话,但它并非是个寻常电话,当手机一铃响,就算受害者没有接起,黑客也能传递恶意程序到手机上。经过几个月的调查之后,他们断定背后的推手就是NSO Group。
Cathcart说,NSO Group曾否认参与了该攻击,但调查显示黑客所使用的服务器与网络托管服务与NSO Group有所关联,且攻击中所使用的某些WhatsApp账号也与NSO Group有关,即使攻击行动非常复杂,却未能完全掩盖NSO Group的足迹,因此脸书决定根据美国《计算机欺诈及滥用法令》(Computer Fraud and Abuse Act)与其它相关法令来追究NSO Group的责任。
根据诉状,脸书与WhatsApp指控NSO Group在今年4月到5月间,利用WhatsApp服务器发送恶意程序到1,400支移动设备上,目的是为了监控WhatsApp用户,相关行为并未取得WhatsApp的同意,也违反了WhatsApp的服务协议。
Cathcart认为,这对所有的科技公司、政府与网络用户而言都该是个警钟,企业将这些间谍工具传播给不负责任的企业与政府,使它们入侵人们的私人生活,但他们相信人们拥有基本的隐私权,包括WhatsApp在内,没有人应该访问用户的私人通信。
Cathcart还呼吁,企业应该在发现漏洞时负责任地披露,而不是利用自己的技术来开采该漏洞,进而发动攻击,也不应销售相关服务给其它组织。