WhatsApp, eigendom van Meta Platforms, behaalde een grote juridische overwinning in zijn strijd tegen de Israëlische commerciële spywareleverancier NSO Group, nadat een federale rechter in de Amerikaanse staat Californië de berichtengigant in het gelijk had gesteld wegens het exploiteren van een beveiligingsprobleem om Pegasus te leveren.
“Uit het beperkte bewijsmateriaal voor de rechtbank blijkt dat de Pegasus-code van de gedaagden 43 keer via de in Californië gevestigde servers van de eisers is verzonden tijdens de relevante periode in mei 2019”, zei districtsrechter Phyllis J. Hamilton van de Verenigde Staten.
Het bevel hekelde NSO Group verder en stelde dat het “herhaaldelijk er niet in slaagde relevante ontdekkingen te doen en gerechtelijke bevelen met betrekking tot dergelijke ontdekkingen niet op te volgen”, verwijzend naar het onvermogen van het bedrijf om de Pegasus-broncode te produceren en voor het beperken van de toegang tot Israëlische burgers terwijl ze in Israël waren.
Deze informatie bevatte volgens WhatsApp alleen code die betrekking had op een Amazon Web Services (AWS)-server, en niet de volledige codebasis die de volledige reikwijdte van de functionaliteit ervan zou onthullen.
“Het gebrek aan naleving door de NSO van ontdekkingsbevelen geeft aanleiding tot ernstige zorgen over hun transparantie en bereidheid om samen te werken met het gerechtelijk proces”, zei rechter Hamilton.
De rechtbank stelde NSO Group ook aansprakelijk voor contractbreuk en concludeerde dat het bedrijf de servicevoorwaarden van WhatsApp had geschonden, die het gebruik van het berichtenplatform voor kwaadaardige doeleinden of het reverse-engineeren of decompileren van de software verbieden.
“Deze uitspraak is een enorme overwinning voor de privacy”, zegt Will Cathcart, hoofd van WhatsApp bij Meta, in een verklaring over X. “We hebben vijf jaar besteed aan het presenteren van onze zaak omdat we er vast van overtuigd zijn dat spywarebedrijven zich niet achter immuniteit kunnen verschuilen of aansprakelijkheid kunnen ontlopen. voor hun onrechtmatige daden.”
De zaak zal naar verwachting nu alleen overgaan tot een rechtszaak over de kwestie van de schadevergoeding, voegde Hamilton eraan toe.
WhatsApp diende de klacht oorspronkelijk eind 2019 in tegen NSO Group en beschuldigde het bedrijf ervan toegang te hebben gekregen tot zijn servers zonder toestemming om de Pegasus-tool in mei van dat jaar op 1.400 apparaten te installeren. De aanvallen maakten gebruik van een toenmalige zero-day-kwetsbaarheid in de spraakoproepfunctie van de app (CVE-2019-3568, CVSS-score: 9,8) om de inzet van de spyware te activeren.
Vorige maand bleek uit gerechtelijke documenten die als onderdeel van de rechtszaak waren onthuld dat NSO Group WhatsApp tot mei 2020 bleef bewapenen om de spyware te verspreiden.
NSO Group heeft herhaaldelijk gezegd dat haar aanbod exclusief is ontworpen om door de overheid en wetshandhavingsinstanties te worden gebruikt om ernstige misdaden zoals terrorisme, kinderpornografie en het witwassen van geld aan te pakken, maar ook om ontvoerde kinderen te redden en te helpen bij noodzoek- en reddingsoperaties.
“De gevaarlijkste overtreders ter wereld communiceren met behulp van technologie die is ontworpen om hun communicatie af te schermen, terwijl inlichtingen- en wetshandhavingsinstanties van de overheid moeite hebben om bewijsmateriaal en inlichtingen over hun activiteiten te verzamelen”, zegt het bedrijf op zijn website en benadrukt dat het zijn missie is om “een betere, veiligere wereld.”
Uit bewijs van het tegendeel blijkt echter dat er verschillende gevallen zijn geweest waarin Pegasus door autoritaire regimes en andere regeringen over de hele wereld werd misbruikt om activisten, politici en journalisten aan te vallen.
Apple, dat in november 2021 een soortgelijke rechtszaak tegen NSO Group heeft aangespannen, heeft sindsdien geprobeerd de zaak vrijwillig af te wijzen op grond van het feit dat de markt voor commerciële spyware sindsdien is geëxplodeerd en dat er verschillende tegenmaatregelen worden toegevoegd om dergelijke aanvallen af te schrikken en beter te kunnen signaleren.
Deze omvatten de Lockdown-modus en de dreigingsmeldingen die de iPhone-maker begon te verzenden om slachtoffers te waarschuwen waarvan hij vermoedt dat ze het doelwit zijn van door de staat gesponsorde actoren, waarvan de laatste door John van het Citizen Lab wordt geprezen als een “game changer voor onderzoek naar spyware-aansprakelijkheid”. Scott-Railton.