A Meta tulajdonában lévő üzenetküldő platform szerint a támadások egy úgynevezett "zero-click" sérülékenységet használtak ki, amelynek során a célpontnak még csak rá sem kellett kattintania semmilyen linkre - a fertőzés egy rosszindulatú PDF-fájlon keresztül történhetett, amelyet csoportos beszélgetésekben küldtek el.
A támadások mögött álló elkövetők kiléte egyelőre ismeretlen, azonban a Paragon által fejlesztett kémprogramok jellemzően kormányzati ügyfelek számára készülnek. Miután a WhatsApp észlelte és semlegesítette a támadási kísérletet, hivatalosan is felszólította a Paragont a tevékenység beszüntetésére, és jelentette az incidenst a hatóságoknak, valamint a kanadai Citizen Lab nevű internetes megfigyelő szervezetnek.
A Paragon Solutions nem kívánta kommentálni a vádakat, azonban a cég weboldalán "etikai alapú" eszközöket és szolgáltatásokat hirdet, amelyek célja "komoly fenyegetések elhárítása". A vállalat egyik legismertebb terméke a Graphite nevű kémprogram, amely teljes körű hozzáférést biztosít a célpont telefonjához.
John Scott-Railton, a Citizen Lab kutatója szerint ez az eset ismét rávilágít arra, hogy a kereskedelmi célú kémprogramok egyre nagyobb mértékben terjednek, és ezzel együtt az azokkal való visszaélés is egyre gyakoribbá válik. Natalia Krapiva, az Access Now jogi szakértője hozzátette, hogy ezek az esetek nem elszigetelt jelenségek, hanem a teljes iparág problémáját tükrözik.
A Paragon Solutions neve most először merül fel egy ilyen ügyben, de nem ez az első alkalom, hogy egy izraeli kémprogramgyártó bajba kerül. 2024 decemberében egy amerikai bíró felelőssé tette az NSO Group nevű céget, amely a hírhedt Pegasus kémprogramot fejlesztette. A döntés szerint az NSO Group megsértette az amerikai állami és szövetségi törvényeket azzal, hogy 2019 májusában 1 400 WhatsApp-felhasználó telefonját törte fel. Egy márciusban esedékes külön tárgyalás fogja eldönteni, milyen kártérítést kell fizetnie a vállalatnak.
Az NSO Group és a WhatsApp közötti amerikai per során kiderült, hogy nem a cég kormányzati ügyfelei, hanem maga az NSO Group végzi el a fertőzést és az adatok kinyerését - ez ellentmond a vállalat korábbi állításának, miszerint kizárólag ügyfelei működtetik a rendszert.
A mostani Paragon-botrány ismét rámutat arra, hogy az állami és magánszektor közötti határvonal egyre elmosódottabbá válik a kiberhadviselés világában, és a digitális magánszféra védelme komoly kihívások elé állítja a techcégeket és a jogalkotókat egyaránt.
