Investigace.cz v rámci globálního novinářského Projektu Pegasus v létě zveřejňovala příběhy o zneužívání izraelské špionážní technologie vládami celého světa. Vlády takto sledovaly nepohodlné novináře, disidenty či různé aktivisty. Po téměř půl roce od vydání kauzy se ledy konečně pohnuly. Spojené státy zařadily výrobce spywaru Pegasus, izraelskou firmu NSO Group, na černou listinu. Minulé úterý pak tuto firmu zažalovala společnost Apple, která ji viní z hrubého porušení federálních a státních zákonů a také z narušení svého softwaru.
Pro firmu NSO Group není žaloba žádnou novinkou – v roce 2019 ji Facebook zažaloval za cílení na uživatele aplikace WhatsApp. Tentokrát se Apple snaží pohnat NSO k odpovědnosti kvůli sledování všech svých klientů, tedy nejen těch, co využívají WhatsApp. Apple tím chce trvale zabránit NSO použití jakéhokoli softwaru, služeb nebo zařízení od Applu, což by mohlo izraelské firmě přinést značné potíže, neboť by tím přišla o velkou část trhu s digitálními technologiemi.
Vedení Applu označilo svou žalobu za varovný signál pro NSO Group a další výrobce špionážních softwarů. „Apple tím říká: Pokud to uděláte, pokud použijete náš software proti nevinným uživatelům, výzkumníkům, disidentům, aktivistům nebo novinářům, Apple vám nedá žádnou šanci,“ prohlásil v interview pro The New York Times Ivan Krstič, vedoucí bezpečnostního inženýrství a architektury společnosti Apple.
Prošetříme to?
Od založení NSO v roce 2010 její management tvrdí, že program Pegasus prodává vládám pouze za účelem zákonného odposlechu. Odhalení novinářů i soukromých výzkumníků ale ukázala spíš opak, tedy vládami tajně schválené nasazení tohoto špionážního systému.
V rámci spolupráce na Projektu Pegasus jsme dokázali identifikovat majitele stovek telefonních čísel a díky technikům z Amnesty International’s Tech Lab provést forenzní analýzu telefonů, u kterých se potvrdilo, že byly napadeny izraelským spywarem.
Navíc jsme zjistili, že firma NSO Group svůj špionážní software i další služby opakovaně dodávala klientům, o nichž věděla, že je využívají k útlaku obyvatelstva či k porušování základních lidských práv. NSO tak de facto umožňovala politikům nebo vysokým státním úředníkům šikanovat nepohodlné osoby, přestože ve svých oficiálních stanoviscích takové chování rezolutně popírá a současně deklaruje, že podobnému zneužití se účinně brání.
Sledovaný novinář Panyi: Postavili mě na stejnou úroveň jako nebezpečného zločince
Podle interních dokumentů NSO, jež v roce 2016 unikly do deníku The New York Times, patřily mezi její první zákazníky vlády Spojených arabských emirátů a Mexika. Písemnosti ukázaly, že společnost účtovala svým klientům 650 000 dolarů (téměř 15 milionů korun) za špehování deseti uživatelů iPhonu – spolu s půlmilionovým poplatkem za zřízení této služby.
Odhalení vedlo k objevení softwaru Pegasus v telefonech aktivistů v Emirátech a mezi novináři, aktivisty a právníky z oblasti lidských práv v Mexiku – spyware měly ve svých telefonech dokonce i jejich dospívajících dětí žijící ve Spojených státech.
NSO Group prohlásila, že všechna obvinění ze zneužití prošetří. Další zjištění ale ukázala, že zmíněným vládám „prošetřování“ nezabránilo, aby nadále služeb špionážního softwaru Pegasus využívaly.
Někde se to zadrhlo
Po publikování kauzy Pegasus se přece jen něco změnilo a NSO Group se poslední dobou potýká s řadou citlivých neúspěchů. V těchto dnech zařadila Bidenova administrativa společnosti NSO a Candiru (další izraelská firma zabývající se sledováním) na černou listinu, a to navzdory dlouhodobě protekčnímu vztahu Američanů k Izraeli. Ve zdůvodnění tohoto kroku se vysloveně píše, že dodávají špionážní softwary zahraničním vládám, které je používají k cílenému sledování novinářů, disidentů, lidskoprávních aktivistů a dalších osob.
Umístění na černou listinu znamená, že žádná americká organizace nesmí s NSO spolupracovat. Zároveň se jedná o nejrazantnější krok, jaký kdy americká administrativa v zájmu ovlivnění globálního trhu se špionážní technologií učinila.
Naopak izraelská vláda, která veškerý prodej spywaru Pegasus schvaluje a považuje jej za důležitý nástroj své zahraniční politiky, ve Spojených státech jménem NSO lobuje za zrušení zákazu. Samotná firma prohlásila, že proti zákazu bude bojovat. O vnitřních neshodách v jejím vedení ale napovídá fakt zveřejněný společností, že pracovník, který měl převzít NSO Group, odešel poté, co se firma dostala na černou listinu.
A k tomu ještě soudy
Týden po zařazení na černou listinu zamítl odvolací soud Spojených států pro devátý obvod návrh NSO na zrušení žaloby ze strany Facebooku ohledně zneužití aplikace WhatsApp. Izraelská firma se marně „dovolávala imunity zahraničního suveréna“.
Tento vývoj připravil půdu pro následnou žalobu společnosti Apple. Příležitost k žalobě se Applu naskytla letos v březnu, kdy byl Pegasus objeven v iPhonu saúdského aktivisty. Výzkumníci z Citizen Lab zjistili, že spyware infikoval iPhone bez jediného kliknutí.
Stejně jako u většiny soukromých firem produkujících špionážní software představují nejvýznamnější devizu NSO Group takzvané „zero-day exploits“. Tedy chyby v operačním programu telefonů nebo aplikací, přes které se lze do telefonu nabourat. Pegasus a jemu podobné špionážní technologie jsou extrémně efektivní právě proto, že telefon napadnou nepozorovaně, aniž by jeho uživatel musel například kliknout na nějaký odkaz.
Pegasus pak dokáže obejít i aplikace specificky určené k bezpečné a šifrované komunikaci, jako například Signal nebo WhatsApp. Jakmile je jednou v telefonu, uživatel tohoto softwaru získává přístup ke všem dalším datům – e-maily, fotky, kontakty, nebo dokonce jednotlivé údery na klávesnici. Pegasus může navíc libovolně zapínat a vypínat mikrofony a kamery umístěné v telefonech a de facto z nich udělat nahrávací zařízení na dálkové ovládání.
Citizen Lab nazvala schéma infekce bez kliknutí „Forced Entry“ a v září předala jeho vzorek společnosti Apple. Toto zjištění přimělo Apple vydat nouzové aktualizace softwaru pro své iPhony, iPady, hodinky Apple Watch a počítače Mac.
Jsme prý jako jed
Vzorek programu Pegasus umožnil Applu provést forenzní analýzu a pochopit, jak špionážní program funguje. Vyšlo tak najevo, že inženýři NSO vytvořili více než sto falešných Apple ID, aby Pegasus na software Applu mohl zaútočit. Při vytváření těchto falešných účtů přitom NSO Group obešla, přesněji řečeno záměrně nedodržela reglementaci i podmínky služeb Apple, což bylo v rozporu se zákony státu Kalifornie, kde Apple sídlí. Právě tato skutečnost společnosti umožnila podání žaloby.
„Jednalo se o hrubé porušení našich podmínek ohledně služeb a také narušení soukromí našich zákazníků,“ řekla Heather Grenierová, vrchní ředitelka Applu pro obchodní spory.
Podle odborníků žaloba společnosti Apple citelně ohrožuje existenci izraelské firmy. „NSO je nyní vnímána jako jed,“ prohlásil v The New York Times ředitel Citizen Lab Ron Deibert, „nikdo se zdravým rozumem teď s nimi nebude chtít mít nic společného.“ Deibert pak dodal, že žaloba by mohla být významným krokem k většímu dohledu nad neregulovaným odvětvím tvorby špionážních programů, což by měla umocnit další opatření vlád celého světa.
Po úterním podání žaloby společnost Apple uvedla, že nabídne bezplatnou technickou, zpravodajskou a inženýrskou pomoc organizaci Citizen Lab a dalším institucím, které se zabývají vymýcením digitálního sledování. Těmto organizacím chce společnost rovněž věnovat 10 milionů dolarů a případné odškodné od NSO Group.