WhatsApp wygrywa z NSO Group. Izraelska firma musi ujawnić kod Pegasusa

WhatsApp zaliczył kluczowe zwycięstwo w sprawie przeciwko NSO Group i jego programowi do inwigilacji Pegasus, o którym ostatnimi czasy bardzo głośno jest też w Polsce. Postanowieniem sądu NSO Group ma obowiązek przekazać WhatsAppowi informacje dotyczące „pełnej funkcjonalności” Pegasusa. Po otrzymaniu kodu twórcy komunikatora mogą być w stanie udowodnić swoje główne twierdzenie, że Pegasus może przechwytywać komunikację wysyłaną do i z urządzenia.

WhatsApp wygrywa w sądzie

WhatsApp odniósł znaczące zwycięstwo prawne w amerykańskim sądzie nad izraelską firmą NSO Group, która produkuje wysoce wyrafinowaną broń cybernetyczną o nazwie Pegasus. Sędzia okręgowy USA Phyllis Hamilton nakazała NSO Group przekazanie WhatsAppowi kodu Pegasusa i innych produktów spyware – o co aplikacja komunikacyjna należąca do Meta zabiegała od 2019 r., kiedy rzuciła oskarżenie, że ​​1400 użytkowników WhatsApp było monitorowanych przez dwa tygodnie przez oprogramowanie szpiegujące, uzyskujące dostęp do ich wrażliwych danych, w tym zaszyfrowanych wiadomości.

Sąd orzekł, że NSO Group musi okazać „wszelkie odpowiednie oprogramowanie szpiegowskie” wykorzystywane w okresie od 29 kwietnia 2018 r. do 10 maja 2020 r.

Hamilton orzekł, że NSO Group musi okazać „wszelkie odpowiednie oprogramowanie szpiegowskie” wykorzystywane w okresie od 29 kwietnia 2018 r. do 10 maja 2020 r., czyli w przed i po rzekomym ataku. Hamilton orzekł także, że NSO musi przekazać informację dotyczącą „pełnej funkcjonalności” Pegasusa. Przedsiębiorstwo argumentowało, że powinno być wymagane jedynie przekazywanie informacji o warstwie instalacyjnej Pegasusa. Sędzia orzekł również, że NSO nie musi jednak podawać nazw swoich klientów ani ujawniać informacji o architekturze swoich serwerów.

Decyzja ta niewątpliwie wywołała wiele niepokoju w izraelskim aparacie obronnym, ponieważ kod Pegasusa i innych produktów inwigilacyjnych stanowi ściśle strzeżoną tajemnicę państwową, a wszelkie licencje sprzedawane obcym rządom muszą najpierw zostać zatwierdzone przez Ministerstwo Obrony kraju.

Pegasus o złej sławy i sprawa polska

Pegasus zyskał sławę na całym świecie dzięki możliwości włamywania się do rzekomo zabezpieczonych urządzeń. Program pozwala przejąć kontrolę nad samym urządzeniem i uzyskać dostęp do wszystkiego, co się na nim znajduje, poprzez uzyskanie uprawnień administracyjnych. Robi to poprzez exploity zero-click, które opierają się na błędach w aplikacjach takich jak iMessage, WhatsApp i FaceTime.

Według doniesień kilka rządów na całym świecie wykorzystywało program Pegasus do atakowania dysydentów politycznych, dziennikarzy i działaczy na rzecz praw człowieka, a udowodniono już również, że poprzedni polski rząd korzystał z tego oprogramowania do inwigilowania polityków opozycji, prawników i nie tylko (obecnie w sejmie pracuje komisja śledcza, która sprawdza, czy robiono to legalnie). W 2021 r. Stany Zjednoczone umieściły NSO na czarnej liście za rzekome rozpowszechnianie „narzędzi cyfrowych wykorzystywanych do represji”.

Decyzja ta umożliwi WhatsApp realizację głównego roszczenia prawnego, a mianowicie tego, że Pegasus może „przechwytywać komunikację wysyłaną do i z urządzenia, w tym komunikację za pośrednictwem iMessage, Skype, Telegram, WeChat, Facebook Messenger, WhatsApp i innych” oraz że można go również „dostosować do różnych celów, w tym do przechwytywania komunikacji, przechwytywania zrzutów ekranu i wydobywania historii przeglądarki”. Aby udowodnić zarzuty, WhatsApp potrzebował dostępu do pełnej funkcjonalności Pegasusa, na co zgodził się sąd.

Nie tylko WhatsApp

WhatsApp nie jest jedynym podmiotem walczącym z Pegasusem i tajemnicami, jakie może on kryć. Amnesty International twierdzi, że znalazło dowody na to, że Pegasus szpieguje poszczególne osoby od 2014 r. Organizacja rozpoczęła własne dochodzenie po odkryciu, że w 2018 r. celem był pracownik Amnesty International i saudyjski działacz Yahya Assiri. W ten sposób narodziło się wspólne śledztwo, w które zaangażowało się ponad 80 dziennikarzy z 17 organizacji medialnych w 10 krajach przy wsparciu technicznym Laboratorium Bezpieczeństwa Amnesty International.

Nie wydaje się jednak, aby to powstrzymało działanie oprogramowania szpiegującego. W 2023 roku Citizen Lab z siedzibą na Uniwersytecie w Toronto w Kanadzie poinformował, że Pegasus może mieć wpływ na iPhone'y z systemem iOS 15 i wczesnymi wersjami iOS 16. Badacze ostrzegali Apple o lukach w zabezpieczeniach już w poprzednim roku. Gigant z Cupertino naprawił je, ale badacze stwierdzili, że oprogramowanie szpiegujące zostało zastosowane przeciwko działaczom na rzecz praw człowieka badającym zniknięcie w 2015 r. 43 demonstrantów studenckich w Meksyku. W zeszłym roku Apple podobno ostrzegł wielu rosyjskich dziennikarzy, że stali się celem sponsorowanych przez państwo cyberataków, najprawdopodobniej Rosji, po odkryciu, że Pegasus został zainstalowany w iPhonie rosyjskiej dziennikarki Galiny Timczenko.