WhatsApp, proprietà di Meta, ha ottenuto una significativa vittoria legale contro NSO Group, azienda israeliana nota per aver sviluppato Pegasus, uno spyware usato per condurre attività di sorveglianza su larga scala. Il giudice federale della California, Phyllis J. Hamilton, ha stabilito che NSO Group ha violato i termini di servizio di WhatsApp sfruttando una vulnerabilità critica per accedere illegalmente ai server dell’app e installare Pegasus su dispositivi target.
CVE-2019-3568: punto di accesso per Pegasus
L’attacco ha sfruttato una falla nota come CVE-2019-3568, che affliggeva il sistema VOIP di WhatsApp. Questa vulnerabilità, classificata con un punteggio CVSS di 9.8, consentiva agli attori malintenzionati di eseguire codice remoto tramite pacchetti RTCP manipolati, inviati a numeri di telefono specifici. Tra maggio e luglio 2019, NSO Group ha utilizzato questa tecnica per installare Pegasus su 1.400 dispositivi senza alcuna interazione da parte delle vittime.
Questa falla interessava diverse versioni di WhatsApp, tra cui:
- WhatsApp per Android (prima della versione 2.19.134)
- WhatsApp Business per Android (prima della versione 2.19.44)
- WhatsApp per iOS (prima della versione 2.19.51)
- WhatsApp Business per iOS (prima della versione 2.19.51)
- WhatsApp per Windows Phone e Tizen
Il caso legale contro NSO Group: una battaglia per la trasparenza
La sentenza ha messo in evidenza il comportamento scorretto di NSO Group, che ha più volte ignorato gli ordini del tribunale di fornire documentazione completa sul codice sorgente di Pegasus. La società ha limitato la cooperazione, fornendo informazioni parziali e accessibili solo a cittadini israeliani, e ha rifiutato di rivelare dettagli essenziali sul funzionamento dello spyware.
Il giudice Hamilton ha dichiarato che queste azioni rappresentano una mancanza di trasparenza e rispetto per il processo giudiziario. Ha inoltre ribadito che NSO Group ha violato le condizioni di utilizzo di WhatsApp, progettate per impedire abusi tecnologici come l’installazione di software dannosi, il reverse engineering e l’utilizzo della piattaforma per attività illegali.
Le implicazioni della sentenza per la privacy globale
La decisione del tribunale stabilisce un precedente legale importante contro l’uso di spyware per scopi malevoli. Will Cathcart, responsabile di WhatsApp, ha commentato:
“Questa sentenza rappresenta una grande vittoria per la privacy. Abbiamo speso cinque anni per costruire questo caso, perché crediamo fermamente che le aziende di spyware non possano nascondersi dietro l’immunità o sfuggire alle responsabilità per le loro azioni illegali.”
Il processo continuerà per determinare i danni economici da imputare a NSO Group, ma l’impatto della sentenza va oltre la causa in sé. Essa rafforza il messaggio che le aziende non possono abusare di tecnologie sofisticate senza affrontare conseguenze legali.
Pegasus: uno strumento controverso di sorveglianza
NSO Group afferma che Pegasus è stato progettato per aiutare governi e forze dell’ordine nella lotta contro terrorismo, CSAM e criminalità organizzata. Tuttavia, numerose indagini hanno dimostrato che il software è stato utilizzato da regimi autoritari per monitorare giornalisti, attivisti politici e oppositori, suscitando un dibattito globale sull’etica e sulla regolamentazione delle tecnologie di sorveglianza.
Apple, anch’essa coinvolta in una causa contro NSO Group, ha recentemente introdotto misure di sicurezza come la “Modalità Blocco” e notifiche contro spyware, evidenziando l’importanza di proteggere gli utenti da attacchi mirati.
Prospettive future
La sentenza contro NSO Group rappresenta un passo avanti nella lotta per la tutela della privacy digitale. Tuttavia, l’evoluzione rapida delle tecnologie di sorveglianza e il crescente mercato per spyware richiedono regolamentazioni più rigide e una maggiore collaborazione internazionale per prevenire abusi.
