Ein Bundesrichter in Kalifornien hat WhatsApp zugestimmt, dass die NSO Group, das israelische Cyberüberwachungsunternehmen hinter der Pegasus-Spyware, seine Systeme gehackt hat, indem es Malware über seine Server an die Telefone Tausender Benutzer gesendet hat. WhatsApp und seine Muttergesellschaft Meta, verklagte die NSO Group im Jahr 2019 und warf dem Unternehmen vor, Malware zu Überwachungszwecken auf 1.400 Mobilgeräten in 20 Ländern zu verbreiten. Sie enthüllten damals, dass einige der Zieltelefone Journalisten, Menschenrechtsaktivisten, prominenten weiblichen Führungspersönlichkeiten und politischen Dissidenten gehörten. Die Washington Post berichtet, dass Bezirksrichterin Phyllis Hamilton dem Antrag von WhatsApp auf ein summarisches Urteil gegen NSO stattgegeben hat und entschieden hat, dass es gegen den US-amerikanischen Computer Fraud and Abuse Act (CFAA) verstößt.
Die NSO Group bestritt die Vorwürfe bei Einreichung der Klage „aufs Schärfste“. Das Unternehmen bestritt, an den Anschlägen beteiligt gewesen zu sein, und teilte Engadget damals mit, dass sein einziger Zweck darin bestehe, „anerkannten staatlichen Geheimdiensten und Strafverfolgungsbehörden Technologie zur Verfügung zu stellen, um ihnen bei der Bekämpfung von Terrorismus und schwerer Kriminalität zu helfen“. Das Unternehmen argumentierte, dass es nicht haftbar gemacht werden dürfe, weil es seine Dienstleistungen lediglich an Regierungsbehörden verkaufe, die ihre Ziele bestimmen. Im Jahr 2020, Meta eskalierte seine Klage und beschuldigte das Unternehmen, US-Server für die Durchführung seiner Pegasus-Spyware-Angriffe zu nutzen.
Richter Hamilton hat entschieden, dass die NSO Group gegen die CFAA verstoßen hat, weil das Unternehmen offenbar voll und ganz anerkennt, dass das benutzerdefinierte WhatsApp-Programm, mit dem seine Kunden Benutzer gezielt ansprechen, Nachrichten über legitime WhatsApp-Server sendet. Diese Nachrichten führen dann dazu, dass die Pegasus-Spyware auf den Geräten der Benutzer installiert wird. Um sich zu infizieren, müssen die Opfer nicht einmal etwas tun, zum Beispiel zum Telefon greifen, um anzurufen oder auf einen Link zu klicken. Das Gericht entschied außerdem, dass dem Sanktionsantrag des Klägers stattgegeben werden sollte, da die NSO Group „wiederholt relevante Entdeckungen macht (nicht schafft),“ von denen die wichtigste der Pegasus-Quellcode ist.
Das sagte WhatsApp-Sprecher Carl Woog Die Post Das Unternehmen geht davon aus, dass dies die erste Gerichtsentscheidung ist, die zugibt, dass ein großer Spyware-Anbieter gegen US-amerikanische Hacking-Gesetze verstoßen hat. „Wir sind dankbar für die heutige Entscheidung“, sagte Woog der Veröffentlichung. „Die NSO kann sich der Verantwortung für ihre rechtswidrigen Angriffe auf WhatsApp, Journalisten, Menschenrechtsaktivisten und die Zivilgesellschaft nicht länger entziehen. Mit diesem Urteil sollten sich Spyware-Unternehmen darüber im Klaren sein, dass ihre illegalen Handlungen nicht toleriert werden.“ In ihrem Urteil schrieb Richterin Hamilton, dass ihr Beschluss alle Fragen bezüglich der Haftung der NSO Group kläre und dass es lediglich ein Verfahren geben werde, um festzustellen, wie viel das Unternehmen als Schadensersatz zahlen müsse.