Volgens Ars TechnicaEen Amerikaanse federale rechter heeft de spywaremaker definitief uitgesloten NSO Groep van WhatsApp-gebruikers te targeten met zijn Pegasus-software. De uitspraak volgt op een rechtszaak uit 2019 van Meta waarin wordt beweerd dat NSO heeft geprobeerd ongeveer 1.400 mobiele apparaten te infecteren. De beslissing van rechter Phyllis J. Hamilton van de Amerikaanse districtsrechtbank voor het noordelijke district van Californië komt voort uit een rechtszaak die in 2019 door WhatsApp-eigenaar Meta werd aangespannen. In de rechtszaak werd beweerd dat NSO werd betrapt op een poging om heimelijk de mobiele telefoons van ongeveer 1.400 personen te infecteren. Op de lijst met doelwitten bevonden zich onder meer advocaten, journalisten, mensenrechtenactivisten, politieke dissidenten, diplomaten en hoge buitenlandse overheidsfunctionarissen. Meta’s klacht beweerde ook dat NSO nep-WhatsApp-accounts had aangemaakt en zich op Meta’s eigen infrastructuur had gericht als onderdeel van haar campagne om de spyware. Het permanente bevel beveelt NSO om permanent te stoppen met het aanvallen van WhatsApp-gebruikers, het proberen hun apparaten te infecteren of het onderscheppen van hun end-to-end gecodeerde berichten, die gebruik maken van het open-source Signal Protocol. De uitspraak van rechter Hamilton schrijft ook voor dat NSO alle gegevens moet verwijderen die het heeft verkregen uit zijn activiteiten gericht op de gebruikers van het platform. NSO had betoogd dat het bevel ‘NSO failliet zou verklaren’, aangezien Pegasus haar ‘vlaggenschipproduct’ is. De rechter verwierp dit en oordeelde dat de schade die Pegasus aan Meta toebracht zwaarder woog dan dergelijke commerciële overwegingen. Rechter Hamilton ging in haar uitspraak dieper in op de aard van de schade die Meta is toegebracht. Ze verklaarde dat de schade verder reikte dan reputatieproblemen en een direct zakelijk probleem vormde. “Volgens de rechtbank wordt elk bedrijf dat zich bezighoudt met de persoonlijke informatie van gebruikers en dat middelen investeert in manieren om die persoonlijke informatie te versleutelen, geschaad door de ongeoorloofde toegang tot die persoonlijke informatie – en het is meer dan alleen reputatieschade, het is een zakelijke schade”, schreef de rechter. De rechtbank beperkte ook de reikwijdte van het bevel en ontkende Meta’s verzoek om buitenlandse regeringen te verbieden WhatsApp te gebruiken, aangezien zij geen partij waren bij de rechtszaak. Een verzoek om NSO te verbieden zich te richten op gebruikers van Facebook en Instagram werd eveneens afgewezen. WhatsApp-hoofd Will Cathcart juichte de beslissing toe in een verklaring. “De uitspraak van vandaag verbiedt spywaremaker NSO om zich ooit nog op WhatsApp en onze wereldwijde gebruikers te richten”, zei hij. “We juichen dit besluit toe, dat komt na zes jaar procederen om de NSO verantwoordelijk te houden voor het aanvallen van leden van het maatschappelijk middenveld.” Cathcart voegde eraan toe dat de uitspraak “een belangrijk precedent schept dat er ernstige gevolgen zijn aan het aanvallen van een Amerikaans bedrijf.” Tegelijkertijd verlaagde rechter Hamilton de punitieve schadevergoeding die een jury aan Meta had toegekend van $ 167 miljoen naar $ 4 miljoen, daarbij verwijzend naar het feit dat de jury niet de juiste wettelijke limiet had toegepast. Pegasus is een zeer geavanceerde spyware die zowel iPhones als Android-apparaten kan infecteren, vaak met behulp van ‘zero-click’-exploits waarvoor geen gebruikersinteractie nodig is. Het verslaat de veiligheidsmaatregelen van Apple en Google door hun besturingssystemen te reverse-engineeren. Hoewel NSO heeft verklaard Pegasus alleen in licentie te geven aan gecontroleerde regeringen die de technologie niet misbruiken, toonde de WhatsApp-zaak aan dat dissidenten en journalisten het doelwit waren. De uitspraak is belangrijk omdat het een juridisch precedent biedt waarop andere Amerikaanse partijen zich kunnen beroepen in toekomstige zaken tegen NSO.
