Федеральний суд США Північного округу Каліфорнії задовольнив позов власника WhatsApp та видав постійний судовий припис проти розробника шпигунського ПЗ NSO Group. Рішення блокує будь-які спроби таргетувати користувачів мессенджера, компрометувати пристрої або перехоплювати повідомлення, а також зобов’язує видалити всі раніше отримані дані. Водночас суму відшкодування зменшено з $167 млн до $4 млн через помилкову методологію розрахунку присяжних.
Що саме заборонено: захист наскрізного шифрування та даних користувачів
Суддя постановила, що NSO Group не має права атакувати інфраструктуру WhatsApp або його абонентів, у тому числі намагатися обходити чи послаблювати наскрізне шифрування, реалізоване за відкритим протоколом Signal. Окремо визначено обов’язок повного видалення зібраних раніше даних, отриманих шляхом таргетингу користувачів мессенджера.
Запит поширити заборону на іноземні держави, які не є сторонами процесу, та на інші продукти компанії (наприклад, Facebook або Instagram) було відхилено через відсутність належних доказів їхнього таргетингу. Водночас суд наголосив: сервіси зв’язку фактично «продають приватність», тож несанкціонований доступ підриває їхню бізнес-модель не лише репутаційно, а й економічно.
Як працювали атаки Pegasus на WhatsApp: техніки, масштаби та уразливості
За матеріалами справи та відкритими розслідуваннями (зокрема Citizen Lab і Amnesty Security Lab), NSO Group позиціонувала Pegasus як інструмент для правоохоронців, але його неодноразово використовували для прихованого стеження. До квітня 2018 року застосовувались кастомний клієнт WIS і експлойт Heaven, що дозволяли доставляти шпигунське ПЗ через контрольовані сервери. Після вересневих і грудневих оновлень 2018 року цей вектор було закрито.
У лютому 2019 року з’явився новий експлойт Eden, покликаний обійти актуальні засоби захисту. Вже у травні 2019-го WhatsApp зафіксував близько 1 400 атакованих пристроїв серед адвокатів, журналістів, правозахисників, дисидентів, дипломатів і чиновників. Того ж періоду компанія ліквідувала критичну уразливість у VoIP-компоненті (CVE-2019-3568), що демонструє вразливість телефонних шлюзів і механізмів обробки сигналізації за недостатньої валідації вхідних даних.
Кого націлювали: групи ризику та наслідки для прав людини
Цільові категорії — представники громадянського суспільства та державного сектору — підкреслюють подвійний ризик: від персональної компрометації до витоку чутливої інформації стратегічного рівня. Для організацій це означає потребу в окремих режимах безпеки для «високоризикових» співробітників і протидію сценаріям zero-click, коли користувачеві не потрібно нічого натискати для інфікування.
Правовий прецедент і ринок: зростання юридичних та комплаєнс-ризиків
Постійний припис проти приватного розробника шпигунського ПЗ — рідкісне і показове рішення, що формує практику відповідальності для комерційних постачальників експлойтів. Суд поставив захист користувачів і цілісність сервісу вище аргументів про «критичність» продукту для бізнесу NSO. Зниження штрафу не скасовує висновків про незаконність атак і обов’язок їх припинити.
На тлі цього рішення посилюється тренд регуляторного тиску: від експортного контролю до судових заборон на цілі продуктові лінійки. Показовим є і внесення NSO Group до Entity List Міністерства торгівлі США у 2021 році, що обмежує доступ до американських технологій. Для вендорів нульових днів це сигнал про високі юридичні й репутаційні ризики та необхідність суворого комплаєнсу.
Практичні кроки для організацій і користувачів
– Підсилити захист мобільних пристроїв: MDM/MAM, політики ізоляції робочих профілів, контроль дозволів, моніторинг аномалій у VoIP/мессенджерах.
– Прискорити патч-менеджмент: пріоритизувати оновлення комунікаційних додатків і медіакодеків — це ключові мішені для zero-click.
– Окремі протоколи для груп підвищеного ризику: навчання, окремі «чисті» пристрої, зменшення поверхні атаки (обмеження прев’ю/дзвінків), швидка ротація пристроїв і ключів, регулярний форензик-аудит.
Справу WhatsApp проти NSO Group варто розглядати як маркер нової норми: спроби підриву наскрізного шифрування стають дорожчими юридично і технологічно. Організаціям доцільно переглянути моделі загроз для мобільних платформ, прискорити оновлення критичних сервісів зв’язку та впровадити окремі процедури захисту для критичних користувачів. Слідкуйте за бюлетенями уразливостей у месенджерах і VoIP-стеку, а при підозрі на компрометацію — оперативно ізолюйте пристрій і запускайте форензик-розслідування.
