Meta, NSO Group'un mahkeme yasağına rağmen yeni WhatsApp saldırılarını sürdürdüğünü iddia etti

Casus yazılım üreticisi NSO Group ile WhatsApp arasında 2019'dan beri süren hukuki ihtilaf, yeni bir aşamaya geldi. Ars Technica'nın bildirdiğine göre Meta, ABD Kuzey California Federal Mahkemesi'ne sunduğu yeni dilekçede, NSO Group'un mevcut yasaklarda belirlenen sınırları ihlal ettiğini ve 2024 sonu ile 2025 başında WhatsApp kullanıcılarına yönelik yeni hedefli saldırılar düzenlediğini iddia etti.

Dava, NSO Group'un Pegasus adlı casus yazılımıyla 2019 yılında WhatsApp altyapısı üzerinden yaklaşık 1.400 kullanıcıyı hedef aldığı suçlamasıyla başladı. 2024 sonunda federal jüri, NSO'yu Bilgisayar Sahtekarlığı ve Suistimal Yasası (CFAA) çerçevesinde sorumlu buldu ve şirket aleyhine 167,2 milyon dolar tazminat ve sürekli bir yasak hükmü çıkarttı.

Meta'nın yeni dilekçesinde sunduğu kanıtların temelinde Citizen Lab ve Meta güvenlik ekibinin ortak adli analizleri bulunuyor. Analizler, son dönemde tespit edilen istismar yöntemlerinin teknik imzalarının NSO Group'un mevcut araç altyapısına bağlanabildiğini gösteriyor. Citizen Lab başkanı Ron Deibert, Ars Technica'ya 'göstergeler tutarlı; saldırıların kaynak teknolojisi NSO'nun bilinen iz şablonlarıyla örtüşüyor' dedi.

NSO Group sözcüsü dilekçeye verdiği yanıtta, şirketin yalnızca onaylanmış devlet müşterilerine hizmet verdiğini ve yargı sürecindeki yasaklara tam uyduğunu açıkladı. Sözcü, kullanıcılara yönelik herhangi bir doğrudan saldırının NSO'nun lisans politikası dışında kaldığını söyledi. NSO, sahte saldırı imzaları kullanılmış olabileceğini de iddia ediyor.

Dilekçeye göre hedef alınan kullanıcılar arasında gazeteciler, sivil toplum aktivistleri ve birkaç AB üye devletinde göç hukukuyla çalışan avukatlar yer alıyor. Ars Technica, mahkemede konuyla ilgili olarak hazırlanan ek kanıt klasörünün dosya boyutu nedeniyle gizli muamele görmesinin talep edildiğini de aktardı. Bu klasörün dökümünün önümüzdeki haftalarda mahkeme kararına bağlı olarak kamuya açılması mümkün.

WhatsApp güvenlik tarafında, Meta önceki saldırı dalgasının ardından 'multi-device end-to-end şifreleme' ve 'Disappearing Messages' özelliklerine ek olarak şüpheli aramaların erken tanılaması için bir model devreye almıştı. Yeni iddialar, bu mekanizmaların 'sıfır gün' istismarları karşısında yeterli olabilmesi için sürekli yenilenmesi gerektiğini gösteriyor.

Düzenleyici tarafta, Avrupa Komisyonu'nun 2024'te NSO Group dahil casus yazılım üreticilerine yönelik ihracat kontrol revizyonu çalışması son aşamasına geldi. Tasarı, AB üye devletlerinde sivil hedeflere karşı casus yazılım kullanımının yargı denetimine bağlanmasını öngörüyor. ABD Hazine Bakanlığı, 2021'de NSO'yu yaptırım listesine ekleyen kararı geçen yıl yeniledi.

Mali tarafta, NSO'nun 167 milyon dolarlık tazminat hükmünün ödenmesi konusunda temyiz süreci devam ediyor. Şirketin mali durumunun zayıfladığı uzun süredir konuşuluyor; Meta'nın yeni dilekçesi, mevcut yasağı genişletmek için mahkemeden ek tedbir kararı talep ediyor. Karar olumlu çıkarsa NSO'nun ABD ile ilişkili yazılım kütüphanelerini güncelleyemediği bir durum söz konusu olabilir.

Klinik tarafında, son üç yılda mobil sağlık verilerine de erişen casus yazılım örnekleri tespit edildi; bu durum, yeni dilekçenin gizli klasöründe yer alan iddialardan biri olarak nitelendiriliyor. Hukuk uzmanları, bu boyutun dava sürecini hem teknik hem etik açıdan büyütebileceğini söylüyor.

Genel görüntüde, Meta - NSO davası, bireysel tüketici platformları ile devlet düzeyinde kullanım için satılan casus yazılımlar arasındaki çatışmanın hukuki olarak nereye varacağının en somut göstergesi olmaya devam ediyor. Ars Technica'nın altını çizdiği gibi, bir sonraki duruşmadan çıkacak karar, sektör için emsal niteliği taşıyacak. Bu yazı hukuki tavsiye yerine geçmez.