专家敦促国会向商业间谍软件供应商施压

多年来，民间社会团体、安全研究人员和人权组织一直在反对和警告使用商业间谍软件针对活动家、记者、持不同政见者和其他弱势群体，但收效甚微。现在，这些组织正在要求美国情报界介入，并利用其强大的权力夺走雇佣间谍软件供应商向国家行为者和其他客户提供的工具。

NSO Group 和 Candiru 等销售商业间谍软件的公司将其产品宣传为密切关注可疑恐怖分子或犯罪分子的手段，并经常声称他们不会向专制政权出售产品并严格控制其系统。但是研究人员和活动家发现了许多政府和私人组织使用这些工具来针对持不同政见者、记者和其他人的例子。多伦多大学芒克学院公民实验室的研究人员多年来记录了 NSO Group 的 Pegasus 等工具的滥用情况，包括近年来针对加泰罗尼亚、波兰、泰国和其他地方的政客的行为。

在周三的听证会上，来自公民实验室和谷歌的研究人员详细介绍了众议院情报特别委员会成员使用和滥用这些工具的程度，并表示这些公司声称控制其工具的说法是错误的。

“事实并不能证明这一点。从第一天开始，滥用就是这项技术的一个特点，”公民实验室的高级研究员约翰·斯科特-雷顿在听证会上说。“非国家行为者将不可避免地掌握这些能力并造成无法估量的伤害。”

这种伤害在 Carine Kanimba 的证词中得到了明确的体现，她是一名出生在卢旺达的美国公民，去年成为 NSO Group 的 Pegasus 间谍软件的目标。Kanimba 的养父是美国永久居民，也是卢旺达民主的积极倡导者，他在迪拜被绑架并被送回卢旺达，在那里他被判处 25 年监禁。在她父亲被绑架后的几个月里，对 Kanimba 手机的法医分析显示，Pegaus 的存在。

“报告显示，当我和母亲一起去与比利时外交部长会面时，间谍软件开始运作。它在与美国总统人质事务特使小组和美国国务院通话期间以及与美国人权组织交谈时都很活跃。根据美国法律，这种监视是非法的，让卢旺达政府始终领先一步，因为我们努力让我们的父亲活着并确保他获释，”她在证词中说。

这些工具的使用已不是秘密，联邦政府最近已采取行动限制其使用，特别是在美国 2021 年 11 月，商务部将 NSO Group 和 Candiru 这两家以色列著名间谍软件供应商列入实体名单，有效地禁止美国公司与他们做生意。安全研究人员定期公开间谍软件供应商出售的工具，以及他们使用的漏洞利用和漏洞。为了对现代设备（如 iPhone 和 Android 手机）保持有效，间谍软件供应商需要访问尚未公开披露的零日漏洞和漏洞利用、错误和技术。许多供应商都有自己的内部研究人员团队，他们寻找新的漏洞并为他们开发漏洞，但他们也会从外部研究人员那里购买新的漏洞。

零日漏洞和漏洞利用的供应是间谍软件供应商持续运行的原因，而追踪国家行为者和其他高级攻击者的谷歌威胁分析小组主任 Scott-Railton 和 Shane Huntley 表示，私人研究人员的努力限制供应及其有效性只能到此为止。

“接受他们必须是一项团队运动。我们对此都有自己的了解，但我们不具备情报界所拥有的一些能力以及他们有权做的事情，”亨特利说。

“这个社区有很好的合作，而且需要合作，因为我们每个人都看到了画面的一部分。我们不能让对手利用任何断开连接。我们在这里有一个共同的敌人。这不是比赛。”

“如果美国情报界发现了这些零日——而且它可以——并将它们提交给大型科技公司，你可能会烧毁他们的房子。

各个美国情报机构雇佣了一些顶级的进攻性研究和攻击团队，他们自己进行漏洞研究和漏洞利用开发，并拥有可以访问他们选择的任何目标的已证明的手段和能力。Scott-Railton 表示，可以很好地利用这种能力来暴露零日漏洞和间谍软件供应商维护的漏洞。

“如果美国情报界发现了这些零日——而且它可以——并将它们提交给大型科技公司，你可能会烧毁他们的房子，”他说。

“我鼓励情报界识别和破坏这些公司的活动。与政府做生意，被美国公司收购，甚至与美国警察部门做生意，都是间谍软件公司的金奖。我鼓励国会将所有这些领域视为参与的方式。”

Huntley 还建议美国和其他政府应利用其经济和外交力量向间谍软件供应商及其运营所在的国家/地区施压。

“此外，美国政府应考虑全面禁止联邦采购商业间谍软件技术，并考虑实施进一步制裁，以限制间谍软件供应商在美国运营和接受美国投资的能力。从这一点来看，这个行业的危害已经非常明显，我们相信它们超过了继续使用的任何好处，”亨特利在他的书面证词中说。

“最后，我们敦促美国领导外交努力，与窝藏有问题的供应商以及使用这些工具的国家的政府合作，为限制该行业造成的损害的措施提供支持。任何一个政府对这个市场产生有意义影响的能力都是有限的；只有通过协调一致的国际努力，才能减轻这种对在线安全的严重风险。”

同样在周三，微软公布了奥地利一家名为 DSIRF 的供应商的运营细节，微软称该供应商负责开发和销售名为 Subzero 的工具集。