據英國《衛報》報道,愛德華·斯諾登在NSO集團的客戶被揭露后警告說,各國政府必須在全球範圍內暫停國際間諜軟件貿易,否則將面臨一個沒有手機可以免遭國家支持的黑客攻擊的世界。斯諾登在2013年揭發了美國國家安全局的秘密大規模監控項目,他將營利性惡意軟件開發商描述為 “一個不應該存在的行業”。
他是在PegASUS項目首次披露後接受《衛報》採訪時發表上述言論的,Pegasus項目是一個由國際媒體組織組成的聯盟對NSO集團及其客戶進行的新聞調查。
NSO集團製造並向政府出售先進的間諜軟件,品牌為Pegasus,可以秘密地感染手機並獲取其信息。電子郵件、短信、通訊錄、位置數據、照片和視頻都可以被提取,而且手機的麥克風和攝像頭可以被激活,以秘密記錄用戶的信息。
該聯盟分析了一個由50000個電話號碼組成的泄漏數據集,據信這些號碼屬於NSO的客戶感興趣的人。對這些手機樣本的分析發現了幾十個成功和試圖感染Pegasus的案例。
NSO集團表示,它認真對待道德方面的考慮,受以色列、塞浦路斯和保加利亞的出口管制制度監管,只向經過審查的政府客戶出售。但它的客戶包括壓制性政權,包括沙特阿拉伯、阿聯酋和阿塞拜疆。
斯諾登在接受《衛報》採訪時說,該集團的發現說明了商業惡意軟件是如何使專制政權有可能將更多人置於最具侵略性的監控之下的。
他說,對於傳統的警察行動來說,要安裝竊聽器或竊聽嫌疑人的電話,執法部門需要 “闖入某人的房子,或去他們的汽車,或去他們的辦公室,而且我們認為他們可能會得到授權”。
但是商業間諜軟件使得對更多的人進行有針對性的監視具有成本效益。他說:“如果他們可以從遠處做同樣的事情,而且成本不高,沒有風險,他們就會開始一直這樣做,針對每一個人,哪怕是稍有興趣的人。”
他說:“如果你不做任何事情來阻止這種技術的銷售,這不僅僅是5萬個目標。它將成為5000萬個目標,而且它將比我們任何人預期的要快得多。”
他說,問題的部分原因是,不同人的手機在功能上是相同的。“當我們談論像iPhone這樣的東西時,它們在世界各地都運行相同的軟件。因此,如果他們找到了入侵一部iPhone的方法,他們就找到了入侵所有iPhone的方法。”
他把將廣泛使用的手機型號中的漏洞商業化的公司比作一個故意開發新的疾病菌株的 “感染者”行業。
他說:“這就像一個行業,他們所做的唯一事情就是創造Covid的定製變體來躲避疫苗。他們唯一的產品是感染載體。他們不是安全產品。他們不提供任何種類的保護,任何種類的預防措施。他們不製造疫苗–他們唯一出售的是病毒。”
斯諾登說,像Pegasus這樣的商業惡意軟件是如此強大,以至於普通人實際上無能為力,無法阻止它。當被問及人們如何保護自己時,他說:“人們可以做什麼來保護自己免受核武器的傷害?”
“有些行業,有些部門,是無法保護的,這就是為什麼我們試圖限制這些技術的擴散。我們不允許核武器的商業市場。”
他表示,對於商業惡意軟件的威脅,唯一可行的解決方案是在國際上暫停銷售。“Pegasus項目所揭示的是NSO集團確實是一個新的惡意軟件市場的代表,這是一個營利性的業務,”他說。“NSO這樣做的唯一原因不是為了拯救世界,而是為了賺錢。”
斯諾登說,在全球範圍內禁止感染載體的交易將防止對移動電話中的漏洞進行商業濫用,同時仍然允許研究人員識別和修復這些漏洞。
“對於普通人來說,這裡的解決方案是集體工作。”他說:“這不是一個我們想要嘗試單獨解決的問題,因為這是你與一家價值10億美元的公司的對決。如果你想保護自己,你必須改變遊戲規則,而我們這樣做的方式就是結束這種交易。”
NSO集團在一系列聲明中說,它拒絕接受關於該公司及其客戶的 “錯誤主張”,並說它對其客戶使用Pegasus間諜軟件的情況並不清楚。該公司表示,它只向經過審查的政府客戶出售該軟件,而且其技術已經幫助防止恐怖主義和嚴重犯罪。
在Pegasus項目啟動后,NSO的創始人兼首席執行官Shalev Hulio說,他繼續質疑泄露的數據“與NSO有任何關係”,但他補充說,他對這些報告“非常關注”,並承諾對它們進行全部調查。他說:“我們理解,在某些情況下,我們的客戶可能會濫用該系統。”