Meta çatısı altındaki WhatsApp, NSO Group adlı İsrailli casus yazılım üreticisine karşı açtığı davada 167 milyon dolarlık tazminat kazandı. Dava, NSO Group’un Pegasus yazılımını kullanarak 1.400'den fazla kullanıcıyı izinsiz dinlediği iddiasıyla 2019’da başlamış ve beş yıldır devam ediyordu.
Dava Dosyasından Öne Çıkan 5 Şey:
Saldırı “sıfır tıklama” yöntemiyle yapıldı
WhatsApp'ın avukatlarına göre NSO, hedef kişiye sahte bir WhatsApp araması göndererek yazılımı yükleyebiliyordu. Bu, kullanıcıdan hiçbir etkileşim gerektirmeyen “zero-click” yöntemiyle gerçekleştiriliyordu. NSO, bunun için “WhatsApp Kurulum Sunucusu” adını verdiği özel bir sistem kullandı.
Saldırı için sadece telefon numarası yeterliydi
Casus yazılım, hedef kişinin telefon numarasını aldıktan sonra sahte bir arama üzerinden arka planda Pegasus'u indiriyor ve üçüncü bir sunucuya bağlanarak cihazı ele geçiriyordu.
NSO, ABD telefon numaralarını da hedef aldı
Her ne kadar NSO, +1 (ABD) numaraları hedef almadığını savunsa da, 2022'de New York Times şirketin FBI’a yönelik bir testte bir ABD numarasını hedef aldığını ortaya koydu. Şirket bu saldırının “tanıtım amaçlı” olduğunu doğruladı.
NSO, davaya rağmen saldırılara devam etti
WhatsApp’ın Kasım 2019’da açtığı davaya rağmen, NSO casus yazılım operasyonlarını sürdürdü. Tanıklara göre, 2020’ye kadar “Erised”, “Eden” ve “Heaven” adlı sürümler kullanıldı. Bu saldırı serisi “Hummingbird” kod adıyla anılıyordu.
NSO’nun genel merkezi Apple ile aynı binada
İlginç bir tesadüf: iPhone'ları hedef alan Pegasus yazılımını geliştiren NSO Group’un, İsrail’in Herzliya kentindeki genel merkezi, Apple ile aynı binada bulunuyor. NSO beş katı kullanırken, Apple binanın geri kalanını işgal ediyor.
Sonuç: Siber Güvenliğin Yeni Gerçekliği
Dava, modern casus yazılımların devlet destekli bile olsa nasıl kötüye kullanılabileceğini ve bireylerin mahremiyetine doğrudan tehdit oluşturduğunu bir kez daha gözler önüne serdi. WhatsApp davası, dijital haklar ve kullanıcı güvenliği açısından emsal niteliğinde bir karar olarak tarihe geçti.