以色列黑客公司NSO Group开采WhatsApp安全漏洞,于WhatsApp用户的设备上植入知名间谍程序Pegasus,在去年遭到WhatsApp及其母公司脸书控告,本周微软、Google、思科、GitHub、LinkedIn、VMWare与网络协会(Internet Association)共同向法院提出意见陈述书(Amicus Brief)来声援脸书与WhatsApp。
NSO Group主要销售各种攻击工具给不同的政府,当时开采了WhatsApp的CVE-2019-3568漏洞,只要打电话给WhatsApp用户,就算用户没有接听,即可传递Pegasus间谍程序到用户设备上,以搜集设备上的各种信息,包括语音通信、相机、电子邮件、消息、定位、密码与通讯录等,估计全球有超过1,400名受害者,包括记者与人权斗士。
脸书与WhatsApp在2019年控告NSO Group,企图根据美国《计算机欺诈及滥用法令》(Computer Fraud and Abuse Act)与其它相关法令,来追究NSO Group的法律责任,NSO Group多次说服法院撤销该诉讼未果之后,最近主张该公司是代表政府行事,应享有主权豁免(Sovereign Immunity)。该主权豁免是主权国家或其代表在其它国家,不需为其行为受到司法的管辖,而微软等企业即是针对该主张提出意见陈述。
根据该意见陈述书,美国的安全企业认为NSO Group的存在增加了攻击武器落入恶心之手的风险,以往这些精密的攻击工具只有少数政府有能力打造,即便如此,这些工具仍有机会落入其它政府的手上而摧毁全球企业,例如WannaCry与NotPetya,一旦降低全球政府访问这些工具的门槛,类似的灾难将会不断重现。
此外,这些科技企业也担心不管是NSO Group或买下攻击工具的政府,对这些工具的保护措施不足,而让它们流落在外,例如另一家专门销售攻击工具的Hacking Team,就曾在2015年遭到黑客入侵。
相较于各国政府可能受到国际法规的限制或必须承受外交后果,NSO Group却可能更百无禁忌。有些政府在发现漏洞之后,会通报供应商,以协助修补漏洞,但类似NSO Group的企业却会收藏并开采这些漏洞,以用来打造并销售攻击工具。
微软也担心NSO Group将会威胁人权,因为已有众多的例子显示该公司的客户以其工具,来监控异议与人权份子。
这使得微软、Google与思科等企业认为NSO寻求主权豁免,将会进一步鼓励新兴的网络监控产业,任由它们开发、销售并使用开采安全漏洞的工具,主张当私人企业利用其网络监控工具来破坏法令,或是提供给任何目的的客户时,都应该要承担其法律责任。