司法省によると、アラブ首長国連邦に130万ドルで販売されたiPhoneの脆弱性は、販売を促進するためにアメリカ人傭兵を使った米国企業によって開発されたという。

背景

ゼロクリックセキュリティエクスプロイトは、2019年に元米国政府諜報員によって使用されたと報告されたが、当時は詳細な背景は不明だった。

アラブ首長国連邦で活動する元米国政府諜報員のチームが、カルマと呼ばれる高度なスパイツールを使って、活動家、外交官、ライバル国の指導者のiPhoneをハッキングした。[…]

工作員らは、Karmaは電話番号やメールアカウントを自動ターゲティングシステムにアップロードするだけで、iPhoneへの遠隔アクセスを許可できるツールだと説明した。このツールには制限があり、Androidデバイスでは動作せず、通話を傍受することもできない。しかし、多くのエクスプロイトとは異なり、Karmaは標的がiPhoneに送信されたリンクをクリックする必要がないため、非常に強力だったと彼らは述べている[…]

起動すると、UAE政府はiPhoneから写真、メール、テキストメッセージ、位置情報を取得することができました。さらに、パスワードへのアクセスも可能になり、さらなる攻撃に利用される可能性がありました。

このプライバシー脆弱性は、Appleのセキュリティアップデートによってブロックされる前の2016年と2017年に使用されたと報告されている。

MITテクノロジーレビューは、このエクスプロイトが傭兵を仲介として米国企業によってUAEに販売されたと報じている。

米国司法省が火曜日に提出した文書には、この売却が、ワシントンの法的許可を得ずにアブダビのために活動するアメリカ人傭兵グループによってどのように促進されたかが詳述されている。しかし、この事件の文書では、強力なiPhoneエクスプロイトをUAEに売却した人物は明らかにされていない。

この問題に詳しい2人の情報筋がMIT Technology Reviewに対し、このエクスプロイトはAccuvantというアメリカの企業によって開発・販売されたことを確認した。[…] Accuvantは10年前、アメリカの大手軍事請負業者と協力し、政府機関の顧客にバグを販売する、多作なエクスプロイト開発企業としての評判を確立した。[…]

同社は数年前に別のセキュリティ会社と合併し、現在はOptivという大企業の一部となっている[…]

Optivの広報担当者ジェレミー・ジョーンズ氏はメールで、同社は「司法省に全面的に協力している」と述べ、Optivは「今回の捜査の対象ではない」と付け加えた。これは事実だ。捜査対象となっているのは、UAEで違法に活動していた元米国情報機関員および元軍人3名である。しかし、Accuvantのエクスプロイト開発・販売者としての役割は、司法省の裁判所提出書類に詳細に記述されるほど重要だった。

司法省は、3人の傭兵は訴訟を解決するために168万5000ドルを支払うことに同意したと述べた。

米国市民のマーク・ベイアー（49）、ライアン・アダムス（34）、および元米国市民のダニエル・ゲリケ（40）は、いずれも米国情報コミュニティ（USIC）または米軍の元職員であり、米国の輸出管理法、コンピューター詐欺法、アクセスデバイス詐欺法違反に関する司法省の調査を解決するために、将来の活動と雇用を制限し、168万5000ドルの罰金を支払うことを義務付ける起訴猶予合意（DPA）を締結した。

写真: Pxhere

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。