Хакер #305. Многошаговые SQL-инъекции
Конфликт между компаниями Facebook и NSO Group продолжается. Напомню, что еще осенью 2019 года Facebook обратилась в суд с иском против израильской компании NSO Group, занимающейся разработкой и продажей шпионских решений и так называемой «легальной малвари». Поводом для иска послужила уязвимость нулевого дня в WhatsApp, информация о которой появилась в мае 2019 года.
Уязвимость, как утверждает Facebook, была продана NSO Group, а затем компания помогала клиентам использовать эту проблему для атак на правозащитников, журналистов, политических диссидентов, дипломатов и правительственных чиновников. Согласно судебным документам, в общей сложности за 11 дней от атак пострадали более 1400 человек в Бахрейне, Объединенных Арабских Эмиратах и Мексике.
Более того, Facebook забанила сотрудников NSO Group на своих платформах, так как судебный иск предусматривал постоянный судебный запрет, запрещающий всем сотрудникам NSO Group получать или пытаться получить доступ к службам, платформе и компьютерным системам WhatsApp и Facebook.
Теперь же в суд обратились уже представители NSO Group и заявили, что еще в 2017 году Facebook пыталась приобрести у них шпионский инструмент, ориентированный против пользователей устройств Apple.
Речь идет о небезызвестной малвари Pegasus, которую впервые обнаружили в 2016 году. В последующие годы ИБ-специалисты продолжали находить все новые инциденты с использованием Pegasus и критиковать NSO Group за то, что компания продает свои решения правительствам и спецслужбам по всему миру (зачастую репрессивным режимам), хотя использование малвари в итоге не задокументировано практически никем и нигде.
Pegasus предназначен для шпионажа и способен собирать текстовые сообщения, информацию о приложениях, подслушивать вызовы, отслеживать местоположение, а также похищать пароли.
Теперь глава NSO Group утверждает, что в октябре 2017 года представители социальной сети пытались приобрести право на использование определенных возможностей Pegasus. Интересно, что именно в это время Facebook начинала развертывание скандального VPN-приложения Onavo Protect, которое без ведома пользователей анализировало трафик, чтобы понять, какие приложения используют люди. Когда об этом стало известно, компания Apple забанила приложение и пересмотрела правила работы для подобных продуктов. В итоге от разработки и использования Onavo Protect отказались.
Согласно судебным документам, похоже, представители Facebook не были заинтересованы в покупке Pegasus, как хакерского инструмента, и модулей, предназначенных для удаленного взлома. Скорее компанию интересовал более эффективный мониторинг телефонов пользователей, которые уже установили Onavo. При этом NSO Group подчеркивает, что продает Pegasus только клиентам связанным с разведкой и правоохранительными органами.
«Представители Facebook заявили, что Facebook обеспокоена тем, что метод сбора пользовательских данных с помощью Onavo Protect оказался менее эффективен на устройствах Apple, чем на устройствах Android, — гласит судебный иск. — Представители Facebook также заявили, что хотят использовать предполагаемые возможности Pegasus для мониторинга активности пользователей на устройствах Apple и готовы платить за возможность наблюдения за пользователями Onavo Protect».
Представители Facebook в свою очередь все отрицают, утверждая, что NSO Group искажает факты:
«NSO пытается отвлечь внимание от фактов, которые Facebook и WhatsApp предоставили суду более шести месяцев назад. Они пытаются избежать ответственности, выставляя свою спайварь и переговоры с сотрудниками Facebook в неверном свете. Наш иск описывает, что именно NSO несет ответственность за атаки более чем на 100 правозащитников и журналистов по всему миру. Генеральный директор NSO Шалев Хулио признал, что его компания способна атаковать устройства без ведома пользователей, и может видеть, против кого применяют Pegasus. Мы с нетерпением ждем возможности представить наше дело против NSO в суде и добиться, чтобы они понесли ответственность за свои действия».
NSO Group называют эти обвинения Facebook безосновательными, в очередной раз повторяя, что компания продает свое программное обеспечение лишь правительствам и силовым структурам (согласно израильским законам об экспорте), и не использует собственные инструменты. Таким образом, сама NSO Group никого не атаковала и не взламывала, и не может нести ответственность за действия своих клиентов.