脸书控告骇客公司NSO Group利用WhatsApp漏洞打造间谍程式Pegasus，微软与Google等科技大厂出面声援

以色列骇客公司NSO Group开采WhatsApp安全漏洞，于WhatsApp用户的装置上植入知名间谍程式Pegasus，在去年遭到WhatsApp及其母公司脸书提告，本周微软、Google、思科、GitHub、LinkedIn、VMWare与网络协会（Internet Association）共同向法院提出意见陈述书（Amicus Brief）来声援脸书与WhatsApp。

NSO Group主要销售各种攻击工具予不同的-，当时开采了WhatsApp的CVE-2019-3568漏洞，只要打电话给WhatsApp用户，就算使用者没有接听，即可传递Pegasus间谍程式到使用者装置上，以搜集装置上的各种资讯，包括语音通讯、相机、电子邮件、讯息、定位、密码与通讯录等，估计全球有超过1,400名受害者，包括记者与人权斗士。

脸书与WhatsApp在2019年控告NSO Group，企图根据美国《电脑诈欺及滥用法令》（ Computer Fraud and Abuse Act）与其它相关法令，来追究NSO Group的法律责任，NSO Group多次说服法院撤销该诉讼未果之后，最近主张该公司是代表-行事，应享有主权豁免（Sovereign Immunity）。此一主权豁免是主权国家或其代表在其它国家，不需为其行为受到司法的管辖，而微软等业者即是针对此一主张提出意见陈述。

根据该意见陈述书，美国的资安业者认为NSO Group的存在增加了攻击武器落入恶心之手的风险，以往这些精密的攻击工具只有少数-有能力打造，即便如此，这些工具仍有机会落入其它-的手上而摧毁全球企业，例如WannaCry与NotPetya，一旦降低全球-存取这些工具的门槛，类似的灾难将会不断重现。

此外，这些科技业者也担心不管是NSO Group或买下攻击工具的-，对这些工具的保护措施不足，而让它们流落在外，例如另一家专门销售攻击工具的Hacking Team，就曾在2015年遭到骇客入侵。

相较于各国-可能受到国际法规的限制或必须承受外交后果，NSO Group却可能更百无禁忌。有些-在发现漏洞之后，会通报供应商，以协助修补漏洞，但类似NSO Group的业者却会收藏并开采这些漏洞，以用来打造并销售攻击工具。

微软亦担心NSO Group将会威胁人权，因为已有众多的例子显示该公司的客户以其工具，来监控异议与人权份子。

这使得微软、Google与思科等业者认为NSO寻求主权豁免，将会进一步鼓励新兴的网络监控产业，任由它们开发、销售并使用开采安全漏洞的工具，主张当私人企业利用其网络监控工具来破坏法令，或是提供给任何目的的客户时，都应该要承担其法律责任。