WhatsApp, di proprietà di Meta Platforms, ha ottenuto una significativa vittoria legale nella sua battaglia contro il venditore israeliano di spyware commerciale NSO Group. Un giudice federale della California ha infatti stabilito a favore del colosso di messaggistica, in merito allo sfruttamento di una vulnerabilità di sicurezza per la distribuzione dello spyware Pegasus. Il giudice distrettuale degli Stati Uniti, Phyllis J. Hamilton, ha affermato che il codice Pegasus degli imputati è stato inviato tramite i server di WhatsApp, situati in California, ben 43 volte durante il maggio 2019.

Critiche a NSO Group

La decisione del tribunale ha anche criticato NSO Group per non aver fornito le prove necessarie e per aver ignorato gli ordini del tribunale riguardanti la discovery, riferendosi al mancato rilascio del codice sorgente di Pegasus e alla limitazione dell'accesso ai cittadini israeliani presenti in Israele. WhatsApp ha sostenuto che le informazioni fornite da NSO riguardavano solo un server di Amazon Web Services, e non l'intero codice che avrebbe potuto rivelare la piena funzionalità dello spyware.

Mancanza di trasparenza

Il giudice Hamilton ha espresso preoccupazione per la mancanza di trasparenza di NSO e la sua scarsa volontà di collaborare con il processo giudiziario. Inoltre, il tribunale ha ritenuto NSO Group responsabile di violazione del contratto, concludendo che l'azienda aveva infranto i termini di servizio di WhatsApp, che vietano l'uso della piattaforma per scopi dannosi o illegali, come l'ingegneria inversa o l'invio di codice dannoso.

Dichiarazioni di Will Cathcart

Will Cathcart, capo di WhatsApp presso Meta, ha dichiarato che questa sentenza rappresenta una grande vittoria per la privacy. Ha sottolineato che per cinque anni l'azienda ha presentato il proprio caso perché credeva fermamente che le aziende di spyware non potessero nascondersi dietro l'immunità o evitare la responsabilità per le loro azioni illegali. La causa proseguirà ora solo per determinare i danni.

Denuncia iniziale e attacchi documentati

WhatsApp ha inizialmente presentato la denuncia contro NSO Group alla fine del 2019, accusandola di aver utilizzato un exploit per installare Pegasus su 1.400 dispositivi. Gli attacchi sfruttavano una vulnerabilità zero-day nella funzione di chiamata vocale dell'app per innescare il dispiegamento dello spyware. Documenti del tribunale rivelano che NSO Group ha continuato a utilizzare WhatsApp per diffondere lo spyware fino al maggio 2020.

Utilizzo dichiarato da NSO Group

NSO Group ha affermato che i suoi prodotti sono progettati per essere utilizzati esclusivamente da governi e agenzie di sicurezza per combattere crimini gravi come terrorismo e pornografia infantile. Tuttavia, sono stati documentati numerosi casi in cui Pegasus è stato utilizzato in modo improprio da regimi autoritari per colpire attivisti e giornalisti.

Causa simile di Apple

Anche Apple ha intentato una causa simile contro NSO Group nel 2021, ma successivamente ha deciso di ritirarla, citando la crescita del mercato dello spyware commerciale. Apple ha introdotto misure di sicurezza come la modalità di blocco e notifiche di minacce per avvisare le vittime di possibili attacchi sponsorizzati da stati. Queste misure sono state accolte come un progresso significativo nella ricerca sulla responsabilità dello spyware.