Ein Bundesrichter in Kalifornien hat WhatsApp Recht gegeben, dass die NSO Group, das israelische Cyberspionage-Unternehmen hinter der Pegasus-Spyware, in seine Systeme eingedrungen ist, indem sie Malware über ihre Server an Tausende von Mobiltelefonen ihrer Nutzer geschickt hat. WhatsApp und seine Muttergesellschaft Meta verklagten die NSO Group bereits 2019 und warfen ihr vor, Malware auf 1.400 Mobilgeräte in 20 Ländern zu Überwachungszwecken verteilt zu haben. Damals wurde bekannt, dass einige der Zielgeräte Journalisten, Menschenrechtsaktivisten, prominenten weiblichen Führungskräften und politischen Dissidenten gehörten.
Die Washington Post berichtete, dass die Bezirksrichterin Phyllis Hamilton dem Antrag von WhatsApp auf eine einstweilige Verfügung gegen NSO stattgegeben und entschieden habe, dass das Unternehmen gegen den US-amerikanischen Computer Fraud and Abuse Act (CFAA) verstoßen habe.
Die NSO Group bestritt die Vorwürfe bei Einreichung der Klage „auf das Schärfste“. Sie bestritt, an den Angriffen beteiligt gewesen zu sein, und erklärte gegenüber Engadget, dass ihr einziges Ziel darin bestehe, „lizenzierten Geheimdiensten und Strafverfolgungsbehörden der Regierung Technologie zur Verfügung zu stellen, um sie bei der Bekämpfung von Terrorismus und Schwerkriminalität zu unterstützen“. Das Unternehmen argumentierte, dass es nicht haftbar gemacht werden könne, da es seine Dienste nur an Regierungsbehörden verkaufe, die ihre eigenen Ziele festlegten. Im Jahr 2020 erweiterte Meta seine Klage und beschuldigte das Unternehmen, Server in den USA für seine Pegasus-Spyware-Angriffe zu nutzen.
Richter Hamilton entschied, dass die NSO Group gegen das CFAA verstoßen hat, da das Unternehmen offenbar voll und ganz anerkennt, dass das modifizierte WhatsApp-Programm, das seine Kunden zur gezielten Ansprache von Nutzern verwenden, Nachrichten über legitime WhatsApp-Server versendet. Diese Nachrichten ermöglichen es dann, die Pegasus-Spyware auf den Geräten der Nutzer zu installieren – die Zielpersonen müssen nicht einmal etwas tun, wie z. B. den Hörer abnehmen, um einen Anruf entgegenzunehmen, oder auf einen Link klicken, um infiziert zu werden. Das Gericht entschied auch, dass dem Antrag des Klägers auf Sanktionen stattgegeben werden müsse, da die NSO Group es „wiederholt versäumt habe, relevante Informationen vorzulegen“, von denen die wichtigste der Quellcode von Pegasus sei.
WhatsApp-Sprecher Carl Woog sagte der Post, das Unternehmen glaube, dass dies die erste Gerichtsentscheidung sei, die bestätige, dass ein großer Spyware-Anbieter gegen US-Hacking-Gesetze verstoßen habe.
„Wir sind dankbar für die heutige Entscheidung“, sagte Woog der Zeitung. “NSO kann sich nicht länger der Verantwortung für seine illegalen Angriffe auf WhatsApp, Journalisten, Menschenrechtsaktivisten und die Zivilgesellschaft entziehen. Dieses Urteil sollte eine Warnung an Spyware-Unternehmen sein, dass ihre illegalen Aktivitäten nicht toleriert werden.“ In ihrer Entscheidung schrieb Richterin Hamilton, dass mit ihrem Urteil alle Fragen bezüglich der Haftung der NSO Group geklärt seien und dass der Prozess nur dazu dienen werde, die Höhe des Schadensersatzes festzulegen, den das Unternehmen zahlen muss.
