陪审团已裁定,在 WhatsApp 起诉以色列公司 NSO Group 利用软件漏洞劫持数千名用户手机的案件中,WhatsApp 获得 1.67 亿美元的惩罚性赔偿。

周二达成的这项判决,不仅对 Meta 旗下的 WhatsApp 来说是一次重大胜利,对长期以来批评 NSO 和其他漏洞利用销售商的隐私和安全权益倡导者来说也是如此。陪审团还判给 WhatsApp 4.44 亿美元的补偿性赔偿。

“无需点击”的漏洞利用

WhatsApp 在 2019 年起诉了 NSO,原因是其攻击目标是大约 1400 部手机,这些手机属于律师、记者、人权活动家、政治异见人士、外交官和外国政府高级官员。 NSO 代表各国的政府和执法部门工作,它利用了一个关键的 WhatsApp 漏洞,该漏洞允许其在 iOS 和 Android 设备上安装 NSO 的专有间谍软件 Pegasus。 这种“无需点击”的漏洞利用方式是通过向目标用户的 App 发起呼叫来实现的。目标用户无需接听电话即可被感染。

WhatsApp 在一份声明中表示:“今天在 WhatsApp 案件中作出的判决,是隐私和安全方面向前迈出的重要一步,这是首次战胜非法间谍软件的开发和使用,这些间谍软件威胁着每个人的安全和隐私。” “今天,陪审团决定迫使臭名昭著的外国间谍软件销售商 NSO 支付赔偿金,这对这个恶意行业针对美国公司以及我们所服务的人民的隐私和安全而采取的非法行为,起到了至关重要的震慑作用。”

Ars 视频

根据调查研究小组 Citizen Lab 代表 WhatsApp 进行的一项调查,NSO 在 2018 年创建了 WhatsApp 帐户,并在一年后使用这些帐户发起呼叫,利用手机上的关键漏洞,这些手机中包括来自 20 个国家的 100 名“民间社会”成员。 这些呼叫通过 WhatsApp 服务器,并将恶意代码注入到目标设备的内存中。 然后,目标手机将使用 WhatsApp 服务器连接到由 NSO 维护的恶意服务器。

在发现攻击后,WhatsApp 通过软件更新修复了关键漏洞,并通知目标用户他们的设备已被黑客入侵。 在接下来的几周内,Facebook 和 WhatsApp 也将 NSO 员工从他们的平台上移除。

WhatsApp 的诉讼在当时是前所未有的,因为它是首批针对向世界各国政府销售复杂恶意软件服务的无监管行业的行动之一。 NSO 辩称,它应免于此类法律诉讼,因为它仅向获得许可的政府情报和执法机构出售工具,用于打击恐怖主义、儿童性虐待和其他严重犯罪。 该公司表示,它禁止客户使用这些工具来对付人权活动家、记者和异见人士。 NSO 还表示,它可以作为对高度加密平台的制衡,这些平台可能被犯罪分子用作避风港。

加州北区美国地方法院组成的一个陪审团周二做出的判决,是对 NSO 辩护的严厉驳斥。

Citizen Lab 的高级研究员 John Scott-Railton 在 Bluesky 上写道:“事实证明,普通人不喜欢帮助独裁者入侵异见人士的公司。” “NSO 拥有所有花哨的法律论据。以及所有的公关手段。但是当他们的行为被揭露时……陪审团发出了巨大的孟山都式惩罚性赔偿信号。 其他间谍软件公司:下一个可能就是你。”

除了为黑客攻击的受害者及其技术提供商开创可能的先例之外,WhatsApp 的诉讼还暴露了 NSO 长期以来试图保密的做法。 去年,审理此案的法官下令 NSO 披露使其产品工作的一些源代码。 诉讼还揭露了 NSO 的一些客户以及许多受攻击的 WhatsApp 用户的位置。

NSO Group 没有立即回应置评请求。