美国法院在WhatsApp间谍软件诉讼中裁定NSO Group败诉

美国法院在一桩关于NSO集团利用漏洞传播Pegasus间谍软件的诉讼中，判决WhatsApp胜诉。WhatsApp首席执行官威尔·卡特（Will Cathcart）称此裁决为隐私保护的一大胜利，强调在历时五年的法律斗争后，间谍软件公司应承担责任。

法院文件指出，原告于2019年10月29日提起诉讼，指控被告利用WhatsApp攻击约1400部手机和平板电脑，在其上安装监控软件。“被告的相关软件产品，统称为‘Pegasus’，允许被告的客户使用修改后的WhatsApp应用程序——称为‘WhatsApp安装服务器’或‘WIS’。WIS除其他功能外，允许被告的客户发送带有‘安装向量’的‘密码’文件，最终允许客户监视目标用户。”法院文件写道。“如上所述，原告声称被告的行为违反了《计算机欺诈和滥用法案》(CFAA)、《数字千年版权法案》(CDAFA)以及构成违约。”

美国法院裁定，NSO集团多次未能提供关键证据，包括Pegasus的源代码，并对其处以制裁，保留日后处以更严厉处罚的权利。WhatsApp表示，NSO只提供了AWS服务器代码，而不是完整的代码库。汉密尔顿法官批评NSO拒不配合，并表示对透明度问题担忧。法院认定NSO集团违反了WhatsApp的服务条款，因为它将该平台用于恶意目的。WhatsApp将这一判决称为隐私保护的胜利。

卡特在推特上写道：“这是一场隐私保护的巨大胜利。我们花了五年时间陈述我们的案情，因为我们坚信间谍软件公司不能躲在豁免权的背后，也不能逃避对其非法行为的责任。监控公司应该注意，非法窃听将会……”

这家监控公司利用了一个零日漏洞（CVE-2019-3568，CVSS评分为9.8），该漏洞存在于这款流行的即时通讯应用的语音通话功能中。即使在因违反反黑客法被起诉后，NSO集团仍在继续使用WhatsApp漏洞，包括名为“Erised”的间谍软件。专家们发现了三个漏洞，“Heaven”、“Eden”和“Erised”，这些漏洞被用于超过1400次据称由NSO集团发起的攻击。“即使在WhatsApp于2019年5月检测到并阻止了投诉中描述的漏洞后，NSO承认它又开发了另一个安装载体（称为Erised），该载体也使用WhatsApp服务器来安装Pegasus。NSO甚至在本诉讼提起后，一直持续使用Erised并将其提供给客户，直到WhatsApp的更改在2020年5月之后阻止了其访问。NSO的证人拒绝回答此后是否开发了更多基于WhatsApp的恶意软件载体。”法院文件继续说道。“所有这些事实都是无争议的，主要来自NSO自身证人的公司代表证词，对被告具有约束力。”

2019年5月，Facebook修复了WhatsApp中的一个关键零日漏洞（CVE-2019-3568），该漏洞已被利用来通过呼叫目标设备远程在手机上安装间谍软件。《金融时报》当时报道称，威胁行为者利用WhatsApp零日漏洞来传播监控公司NSO集团开发的间谍软件。

NSO集团开发的监控软件被世界各国的政府机构用来监视人权组织、活动家、记者、律师和异议人士。安全专家已经检测和分析了其武器库中的一些工具，例如流行的Pegasus间谍软件（用于iOS）和Chrysaor（用于Android）。

2024年3月，Meta赢得了针对这家以色列间谍软件供应商的诉讼，一位美国法官命令这家监控公司向这家社交网络巨头移交其Pegasus间谍软件和其他产品的源代码。NSO集团被要求提供有关相关间谍软件完整功能的详细信息，涵盖指控攻击前一年到指控攻击后一年期间（即2018年4月29日至2020年5月10日）。

11月份提交的法庭文件显示，NSO集团对其客户使用其间谍软件的控制有限，这与这家以色列公司之前的声明相矛盾。与NSO的说法相反，该文件表明间谍软件供应商运营其Pegasus系统，客户只需要提供目标号码即可。NSO否认这些指控，声称其客户单独操作该系统。“[NSO集团]坚持其之前的声明，我们反复详细说明该系统完全由我们的客户操作，NSO及其员工均无法访问该系统收集的情报。”以色列公司全球传播副总裁吉尔·莱尼尔（Gil Lanier）说道。