WhatsApp控以色列駭客公司 助20國政府監看手機

通訊軟體WhatsApp今天控告以色列間諜軟體公司協助20國政府大肆侵駭，侵入4大洲約1400名用戶電話，外交人員、政治異議人士、新聞記者與政府高官都是侵駭目標。

社群網站臉書（FB）旗下WhatsApp在美國舊金山聯邦法院提告，指控以色列間諜軟體公司NSO集團（NSOGroup）在20國協助政府大肆侵駭。他們點出名稱的國家僅有墨西哥、阿拉伯聯合大公國與巴林。

NSO否認指控。

NSO在聲明中表示：「我們以最強烈的措辭駁斥今天的指控，我們將竭力反擊。」「NSO唯一的目的，就是把技術提供給獲授權的政府情報機關與執法機關，協助他們對付恐怖主義與重大犯罪。」

WhatsApp表示，WhatsApp的視訊通話系統遭利用為攻擊工具，被用以傳送惡意軟體到大量用戶的行動裝置，讓NSO的客戶、據說就是政府和情報組織，得以背地監視電話的主人。

WhatsApp月用戶約15億人，常常自詡安全防護嚴密，包括像WhatsApp自己或第3方都無法解讀點對點加密訊息。

臉書控告駭進WhatsApp的以色列公司NSO Group

今年5月，臉書修補了WhatsApp一個CVE-2019-3568安全漏洞，當時媒體報導已有駭客利用該漏洞於WhatsApp用戶的裝置上植入Pegasus間諜程式，本周WhatsApp負責人Will Cathcart藉由華盛頓郵報的《意見》版面對外宣布，臉書與WhatsApp已經控告了打造Pegasus的以色列駭客公司NSO Group。

NSO Group為一從事網路情報工作的以色列公司，主要提供協助政府打擊恐怖與犯罪的技術，然而，市場紛傳許多極權政府利用該公司所打造的各種攻擊工具來對抗反對它們的人權捍衛者或新聞記者，其中的Pegasus還被譽為史上最高明的間諜程式，可用來監控受害者的行動與蒐集裝置上的所有資訊。

Cathcart表示，當初那個漏洞藏匿在WhatsApp的視訊功能中，受害者會收到一通顯示為視訊的電話，但它並非是個尋常電話，當手機一鈴響，就算受害者沒有接起，駭客也能傳遞惡意程式到手機上。經過幾個月的調查之後，他們斷定背後的推手就是NSO Group。

Cathcart說，NSO Group曾否認參與了此一攻擊，但調查顯示駭客所使用的伺服器與網路代管服務與NSO Group有所關聯，且攻擊中所使用的某些WhatsApp帳號亦與NSO Group有關，即使攻擊行動非常複雜，卻未能完全掩蓋NSO Group的足跡，因此臉書決定根據美國《電腦詐欺及濫用法令》（ Computer Fraud and Abuse Act）與其它相關法令來追究NSO Group的責任。

根據訴狀，臉書與WhatsApp指控NSO Group在今年4月到5月間，利用WhatsApp伺服器傳送惡意程式到1,400支行動裝置上，目的是為了監控WhatsApp用戶，相關行為並未取得WhatsApp的同意，也違反了WhatsApp的服務協議。

Cathcart認為，這對所有的科技公司、政府與網路使用者而言都該是個警鐘，業者將這些間諜工具散布予不負責任的企業與政府，使它們入侵人們的私人生活，但他們相信人們擁有基本的隱私權，包括WhatsApp在內，沒有人應該存取使用者的私人通訊。

Cathcart還呼籲，企業應該在發現漏洞時負責任地揭露，而不是利用自己的技術來開採該漏洞，進而發動攻擊，亦不應銷售相關服務予其它組織。