美國(guó)國(guó)會(huì)開(kāi)始重視可能存在針對(duì)美國(guó)的監(jiān)控軟件構(gòu)成的安全威脅，在《情報(bào)授權(quán)法》草案中對(duì)國(guó)家情報(bào)部門(mén)提出了調(diào)查相關(guān)間諜軟件的要求。

2018 年 5 月 1 日，貝佐斯正與沙特阿拉伯王儲(chǔ)穆罕默德·本·薩勒曼(Mohammed bin Salman)在 WhatsApp 上聊天，王儲(chǔ)的手機(jī)發(fā)送了惡意文件，幾個(gè)小時(shí)內(nèi)攻擊者就從亞馬遜首席執(zhí)行官杰夫·貝佐斯(Jeff Bezos)的手機(jī)中竊取了一大批數(shù)據(jù)。

聯(lián)合國(guó)今年早些時(shí)候發(fā)布了調(diào)查報(bào)告，報(bào)告稱(chēng)這次數(shù)據(jù)泄露是由 NSO 的一款名為 Pegasus 的產(chǎn)品觸發(fā)的，盡管 NSO 對(duì)此予以否認(rèn)，稱(chēng)其技術(shù)并不是只用于美國(guó)電話號(hào)碼。

這起看上去是商業(yè)竊密的事件實(shí)則與一起暗殺事件和多起侵犯人權(quán)的事件有關(guān)，據(jù)稱(chēng)包括 2018 年《華盛頓郵報(bào)》記者 Jamal Khashoggi 的謀殺案、2018 年 6 月針對(duì) Amnesty International 員工的魚(yú)叉郵件攻擊、墨西哥政府針對(duì)人權(quán)律師、記者與反腐活動(dòng)人員的攻擊。

最終，吃過(guò)很多次虧后，美國(guó)國(guó)會(huì)下令讓國(guó)家情報(bào)總監(jiān)(DNI)跟蹤監(jiān)控軟件對(duì)國(guó)家安全構(gòu)成的威脅，有哪些外國(guó)政府出于什么目的正在使用。

Citizen 實(shí)驗(yàn)室的高級(jí)安全研究員 John Scott-Railton 上周發(fā)現(xiàn)一項(xiàng)強(qiáng)有力的立法被納入 2021 年情報(bào)資金法案草案中。參議院法案中列出了明年政府情報(bào)部門(mén)的資金要資助完成 DNI 向國(guó)會(huì)提交有關(guān)間諜軟件構(gòu)成威脅的報(bào)告。

如下所示，2021 年的《情報(bào)授權(quán)法》草案中第 503 節(jié)：

多倫多大學(xué) Citizen 實(shí)驗(yàn)室的研究員對(duì) Pegasus 和其他間諜軟件非常熟悉，他們已經(jīng)跟蹤分析 Pegasus 很多年了。事實(shí)上，也是 Citizen 實(shí)驗(yàn)室在 2016 年 8 月首次發(fā)現(xiàn)了 Pegasus。

Scott-Railton 表示，美國(guó)情報(bào)部門(mén)和包括國(guó)務(wù)院在內(nèi)的政府官員也都在努力應(yīng)對(duì)間諜軟件帶來(lái)的威脅。在參議員 Ron Wyden 的推動(dòng)下，該問(wèn)題在國(guó)會(huì)已經(jīng)得到了充分的重視。

第 503 節(jié)還要求對(duì)銷(xiāo)售間諜軟件的公司進(jìn)行調(diào)查和分析，包括是否是美國(guó)公司等。還要尋找間諜軟件的購(gòu)買(mǎi)人(不論是政府還是其他實(shí)體)對(duì)美國(guó)構(gòu)成威脅的詳細(xì)信息：

此外，法案還要求政府與技術(shù)公司和電信公司合作，找出針對(duì)入侵和間諜軟件加強(qiáng)美國(guó)消費(fèi)類(lèi)軟件和硬件安全性的方法。建議通過(guò)使用多種工具來(lái)阻止攻擊者，包括出口管制、外交壓力和貿(mào)易協(xié)定。

本月初，法案草案以 14 比 1 在參議院情報(bào)委員會(huì)得到了通過(guò)，將會(huì)在今年夏天晚些時(shí)候在參議院進(jìn)行投票。