臉書控告駭客公司NSO Group利用WhatsApp漏洞打造間諜程式Pegasus,微軟與Google等科技大廠出面聲援

微軟、Google與思科等業者認為以色列駭客公司NSO Group尋求主權豁免,將會進一步鼓勵新興的網路監控產業,任由它們開發、銷售並使用開採安全漏洞的工具,主張當私人企業利用其網路監控工具來破壞法令,或是提供給任何客戶時,都應該要承擔其法律責任

以色列駭客公司NSO Group開採WhatsApp安全漏洞,於WhatsApp用戶的裝置上植入知名間諜程式Pegasus,在去年遭到WhatsApp及其母公司臉書提告,本周微軟、Google、思科、GitHub、LinkedIn、VMWare與網路協會(Internet Association)共同向法院提出意見陳述書(Amicus Brief)來聲援臉書與WhatsApp。

NSO Group主要銷售各種攻擊工具予不同的政府,當時開採了WhatsApp的CVE-2019-3568漏洞,只要打電話給WhatsApp用戶,就算使用者沒有接聽,即可傳遞Pegasus間諜程式到使用者裝置上,以蒐集裝置上的各種資訊,包括語音通訊、相機、電子郵件、訊息、定位、密碼與通訊錄等,估計全球有超過1,400名受害者,包括記者與人權鬥士。

臉書與WhatsApp在2019年控告NSO Group,企圖根據美國《電腦詐欺及濫用法令》( Computer Fraud and Abuse Act)與其它相關法令,來追究NSO Group的法律責任,NSO Group多次說服法院撤銷該訴訟未果之後,最近主張該公司是代表政府行事,應享有主權豁免(Sovereign Immunity)。此一主權豁免是主權國家或其代表在其它國家,不需為其行為受到司法的管轄,而微軟等業者即是針對此一主張提出意見陳述。

根據該意見陳述書,美國的資安業者認為NSO Group的存在增加了攻擊武器落入惡心之手的風險,以往這些精密的攻擊工具只有少數政府有能力打造,即便如此,這些工具仍有機會落入其它政府的手上而摧毀全球企業,例如WannaCry與NotPetya,一旦降低全球政府存取這些工具的門檻,類似的災難將會不斷重現。

此外,這些科技業者也擔心不管是NSO Group或買下攻擊工具的政府,對這些工具的保護措施不足,而讓它們流落在外,例如另一家專門銷售攻擊工具的Hacking Team,就曾在2015年遭到駭客入侵。

相較於各國政府可能受到國際法規的限制或必須承受外交後果,NSO Group卻可能更百無禁忌。有些政府在發現漏洞之後,會通報供應商,以協助修補漏洞,但類似NSO Group的業者卻會收藏並開採這些漏洞,以用來打造並銷售攻擊工具。

微軟亦擔心NSO Group將會威脅人權,因為已有眾多的例子顯示該公司的客戶以其工具,來監控異議與人權份子。

這使得微軟、Google與思科等業者認為NSO尋求主權豁免,將會進一步鼓勵新興的網路監控產業,任由它們開發、銷售並使用開採安全漏洞的工具,主張當私人企業利用其網路監控工具來破壞法令,或是提供給任何目的的客戶時,都應該要承擔其法律責任。

文章來源:iThome

Scroll Up