Source: https://www.darkreading.com/cyber-risk/whatsapp-ban-nso-group-legal-battle
🛡 概要
WhatsAppは、商業スパイウェア企業NSOグループに対して、ユーザーを標的とすることを禁じる判決を受けました。この長期的な法的闘争の結果、NSOはWhatsAppのシステムに存在するゼロデイ脆弱性を悪用し、約1400台のモバイルデバイスにペガサススパイウェアをインストールしたとされています。これにはジャーナリストや活動家、政府関係者などが含まれており、プライバシーの侵害が問題視されています。
🔍 技術詳細
この脆弱性はCVE-2019-3568として追跡されており、バッファオーバーフローのバグによってリモートコード実行が可能となっていました。具体的には、RTCPパケットを通じてターゲットの電話番号に送信される一連のデータによって、この脆弱性が自動的に悪用され、スパイウェアがデバイスにダウンロードされました。この問題はWhatsAppのサーバーを介して行われ、NSOはWhatsAppのコードを逆コンパイルして独自のアプリケーションを作成したことが判明しています。
⚠ 影響
この判決は、WhatsAppのユーザーや企業にとって重要な意義を持ちます。NSOの行為はWhatsAppに直接的な損害をもたらし、ユーザーのプライバシーを脅かしました。裁判所は、NSOの行為が「回復不能な損害」を引き起こすものであると認定し、WhatsAppのデータプライバシーが侵害されたことを強調しました。判決によって、NSOはWhatsAppの逆コンパイルや新規アカウントの作成が禁止され、所有するWhatsAppのソースコードも削除する必要があります。
🛠 対策
WhatsAppは、ユーザーのプライバシーを守るためにさらなるセキュリティ強化を図る必要があります。具体的には、脆弱性の早期発見と修正、ユーザー教育の強化、そして外部からの攻撃に対する防御策を強化することが求められます。また、NSOのような企業に対して法的措置を講じることで、プライバシー侵害を防ぐための強固な基盤を築くことが重要です。今回の判決は、他の企業にも同様の問題に対する意識を高める契機となるでしょう。
