Um juiz dos Estados Unidos determinou que o NSO Group deve fornecer o código-fonte do Pegasus e de outros trojans de acesso remoto à Meta, como parte do processo judicial em andamento movido pela gigante das mídias sociais contra o fornecedor israelense de spyware. A decisão representa uma vitória legal significativa para a Meta, que iniciou o processo em outubro de 2019, acusando o NSO Group de utilizar sua infraestrutura para distribuir o spyware em aproximadamente 1.400 dispositivos móveis entre abril e maio do mesmo ano, afetando inclusive ativistas e jornalistas indianos.

Os ataques exploravam uma vulnerabilidade zero-day no aplicativo de mensagens instantâneas (CVE-2019-3568, pontuação CVSS: 9.8), um bug crítico de buffer overflow na funcionalidade de chamada de voz, permitindo a entrega do Pegasus simplesmente ao realizar uma chamada, mesmo que estas não fossem atendidas. Além disso, a cadeia de ataque incluía etapas para apagar as informações de chamadas recebidas dos registros, tentando evitar a detecção.

Documentos do tribunal revelam que o NSO Group foi solicitado a "fornecer informações sobre a funcionalidade completa do spyware relevante", especificamente para um período de um ano antes até um ano após o ataque alegado (de 29 de abril de 2018 a 10 de maio de 2020). Entretanto, a empresa não precisará "fornecer informações específicas sobre a arquitetura do servidor neste momento", uma vez que o WhatsApp "poderia obter as mesmas informações a partir da funcionalidade completa do spyware alegado". Notavelmente, foi poupado de compartilhar as identidades de seus clientes.

Donncha Ó Cearbhaill, chefe do Laboratório de Segurança da Anistia Internacional, comentou que, embora a decisão do tribunal seja um desenvolvimento positivo, é decepcionante que o NSO Group continue autorizado a manter em segredo a identidade de seus clientes, responsáveis pelo direcionamento ilegal.

O NSO Group foi sancionado pelos EUA em 2021 por desenvolver e fornecer armas cibernéticas a governos estrangeiros que "usaram essas ferramentas para alvejar maliciosamente funcionários governamentais, jornalistas, empresários, ativistas, acadêmicos e trabalhadores de embaixadas".

Paralelamente, a Meta enfrenta crescente escrutínio de grupos de privacidade e consumidores na União Europeia sobre seu modelo de subscrição "pague ou aceite" (pay or consent), criticado por impor um modelo de negócios que transforma a privacidade em um luxo ao invés de um direito fundamental, reforçando a exclusão discriminatória do acesso ao domínio digital e controle sobre dados pessoais, potencialmente minando as regulamentações do GDPR.

Com informações The Hacker News.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

7 de Março, 2024

Juiz dos EUA ordena que NSO Group entregue código-fonte do Pegasus à Meta

Quer ficar por dentro das ultimas notícias na área?

Posts recentes