WhatsApp胜诉NSO集团：间谍软件巨头被判赔1.67亿美元

5月6日，Meta旗下的即时通讯应用WhatsApp在与NSO Group的长期法律斗争中获得重大胜利，这家被指控利用其产品漏洞进行间谍活动的公司被判赔偿超过1.67亿美元。此次判决标志着历时五年的法律纠纷终于告一段落。早在2019年10月，WhatsApp就指责NSO Group利用其音频通话功能中的漏洞攻击了超过1400名用户。 在这场为期一周的陪审团审判中，双方证人提供了大量证词，包括NSO Group的CEO亚隆·肖哈特（Yaron Shohat）和负责调查此次黑客事件的WhatsApp员工。这些证词揭示了许多关键细节，如NSO Group已经与10个滥用其Pegasus间谍软件的政府客户断绝关系，受害者地理位置涉及1223个地点，并且三名客户的名称被曝光：墨西哥、沙特阿拉伯和乌兹别克斯坦。 零点击攻击的运作方式 根据WhatsApp律师安东尼奥·佩雷斯（Antonio Perez）的描述，这种零点击攻击通过向目标用户发送虚假的WhatsApp电话实现。攻击者利用的是一项特殊设备——“WhatsApp Installation Server”，能够模拟真实消息发送恶意内容。一旦接收到这些消息，目标手机便会自动连接到第三方服务器并下载Pegasus间谍软件。肖哈特的研究与发展副总裁塔米尔·加兹纳利（Tamir Gazneli）确认，任何零点击攻击都是Pegasus研发的重要里程碑。 持续攻击和美国电话号码测试 尽管WhatsApp在2019年11月提起诉讼，但NSO Group仍继续针对其用户。加兹纳利证实，“Erised”是该公司在2019年末至2020年5月期间使用的WhatsApp零点击攻击版本之一，另外两个版本为“Eden”和“Heaven”，统称为“Hummingbird”。 《纽约时报》在2022年首次报道，NSO Group曾在一次测试中针对一个美国电话号码，目的是演示给FBI看。公司律师确认这是一次特殊情况，Pegasus确实可以针对+1开头的美国电话号码。然而，FBI最终没有部署这一软件。 Pegasus的操作方式和成本 肖哈特在证词中表示，Pegasus的用户界面不会让客户选择具体的攻击方法或技术，因为客户只关心能否获取所需情报，而不关心具体如何实现。这意味着系统后端会根据目标自动选择最合适的攻击技术。 NSO Group的一名员工透露，2018年至2020年间，欧洲客户使用Pegasus的标准价格为700万美元，此外还需支付约100万美元的“隐秘向量”费用。这些隐秘向量可能包括零点击攻击等隐蔽技术。不同国家的顾客费用存在较大差异，例如，沙特阿拉伯曾支付5500万美元，墨西哥则支付了6100万美元。 NSO Group的财务状况 在审判过程中，肖哈特回答了一些关于公司财务的问题。NSO Group在2023年亏损900万美元，2024年亏损1200万美元，2023年底银行账户余额为880万美元，2024年底为510万美元。目前公司每月花费约1000万美元来支付员工工资等开支，财务状况十分拮据。 NSO Group的研发部门在2023年和2024年的支出分别为5200万美元和5900万美元。公司希望支付尽可能少的赔偿金，甚至表示自己根本无力支付。“老实说，我认为我们无法支付任何赔偿。公司正在努力维持生计，每周都在优先处理开支，以确保有足够资金履行承诺。”肖哈特在证词中说道。 行业人士评价及公司背景 业内人士对此次判决纷纷表示支持，认为这有助于打击滥用间谍软件的行为，并保护用户隐私。WhatsApp作为Meta旗下的一款全球知名即时通讯应用，一直致力于保护用户数据安全。NSO Group则是一家总部位于以色列的网络安全公司，以其高阶间谍软件Pegasus而闻名，该软件曾多次被用于针对记者和人权活动家。此次法律胜利可能会对NSO Group未来的发展产生深远影响，其他类似公司也可能因此受到警示。