Tirsdag denne uken saksøkte Facebook og WhatsApp det israelske selskapet NSO Group for å ha brukt servere hos Facebook-eide WhatsApp til å spre skadevare til rundt 1400 mobile enheter. Dette skal ha blitt gjort via en sårbarhet som fantes i WhatsApp-appen til flere ulike mobilplattformer, inkludert Android og iOS.
Digi.no omtalte disse angrepene allerede i mai i år.
NSO Group
NSO Group opplyser på nettstedet sitt at selskapet utvikler teknologier som hjelper myndighetsorganer med å forhindre og etterforske terror og kriminalitet, noe som skal kunne redde tusenvis av menneskeliv globalt. Andre vil kalle dette for cybervåpen som kan brukes av aktører med både gode og onde hensikter.
Selskapet er omstridt blant annet fordi det selger sine tjenester og produkter også til land hvor ytringsfrihet og andre menneskerettigheter i liten grad respekteres av myndighetene.
Utestenges
I går ble Facebook- og Instagram-kontoene til et større antall NSO-ansatte stengt. Dette skriver Ars Technica som viser til flere ulike kilder. Dette har ført til blandede reaksjoner. Enkelte mener at slik kollektiv avstraffelse ikke hører noe sted hjemme. Andre syns det er helt greit og mener at Facebook står fritt til å utestenge hvem de vil på selskapets egen plattform.
Angrepet mot WhatsApp skal trolig ha pågått mellom 29. april og 10. mai i år. Da ble det oppdaget og stoppet av WhatsApp. Skadevaren som infiserte enhetene, kalles ifølge IT-sikkerhetsgruppen Citizen Lab for Pegasus. Den har vært kjent i flere år, men spres ved å utnytte ulike angrepsvektorer, inkludert den tidligere sårbarheten i WhatsApp.
Kommunikasjonen mellom WhatsApp-brukere er ende-til-ende-kryptert, noe som gjør den mer eller mindre umulig å avlytte. Men for at brukerne skal kunne lese eller lytte til meldinger og samtaler, må disse kunne gjengis ukryptert på enhetene.
Pegasus-spionvaren skal ha gjort det mulig å få tilgang til den ukrypterte kommunikasjonen hos det som antas å være nøye utvalgte brukere. Mange detaljer om hvordan dette antas å ha foregått, er oppgitt i søksmålet. Helt sentralt skal det ha vært at skadelig kode ble maskert som en serie med samtaler og samtaleinnstillinger, som ble lagret i minnet på enhetene som ble angrepet.
Brukere i 20 land
Blant brukerne som skal ha blitt berørt av angrepene, er personer med telefonnummer som hører hjemme i henholdsvis Bahrain, De forente arabiske emirater og Mexico. Myndighetene i alle disse tre nasjonene skal være blant kundene til NSO Group, ifølge søksmålet.
I alt skal brukere i 20 land være berørt. Blant disse er mange enten advokater, journalister, menneskerettsforkjempere, politiske dissidenter, diplomater eller offisielle representanter for sine respektive lands myndigheter.
Avlytting ved hjelp av spionvare direkte på enhetene vil trolig bli stadig mer vanlig etter hvert som flere tar i bruk kommunikasjonstjenester hvor dataene i transitt er ende-til-ende-kryptert og dermed ikke kan dekrypteres på veien av tjenesteleverandøren.
I søksmålet anklages NSO Group for misbruk, brudd og krenkelser på alt fra brukervilkårene til WhatsApp til amerikansk lovgivning om kontraktbrudd og datasvindel. Det går også fram at angrepene ble gjort via serverne til andre amerikanske selskaper, inkludert Amazon, noe som kan føre til at flere ønsker å prøve et slikt misbruk for en domstol.
Ifølge advokater Wired har vært i kontakt med, må WhatsApp og Facebook bevise at de selv var ofre i saken. En forutsetning for dette kan være at de kan bevise at også de, og ikke bare brukerne, ble hacket.