एक सारांश निर्णय में, कैलिफोर्निया के उत्तरी जिले के ओकलैंड में अमेरिकी जिला अदालत के न्यायाधीश फिलिस हैमिल्टन ने इजरायली-भाड़े की निगरानी फर्म एनएसओ ग्रुप टेक्नोलॉजीज (जिसे क्यू साइबर टेक्नोलॉजीज के रूप में भी जाना जाता है) को मेटा के व्हाट्सएप की हैकिंग के लिए उत्तरदायी पाया है।
कोर्ट ने पाया है कि NSO ने उपयोगकर्ताओं को हैक करने के लिए व्हाट्सएप सर्वर के माध्यम से दुर्भावनापूर्ण संदेश भेजकर कंप्यूटर धोखाधड़ी और दुरुपयोग अधिनियम, और व्यापक कंप्यूटर डेटा एक्सेस और धोखाधड़ी अधिनियम का उल्लंघन किया है। इसने एनएसओ को व्हाट्सएप की सेवा शर्तों का उल्लंघन करके अपने अनुबंध का उल्लंघन करने के लिए भी पाया।
एक परीक्षण अब केवल व्हाट्सएप बनाम एनएसओ में नुकसान के मुद्दे पर आगे बढ़ेगा।
20 दिसंबर के सारांश निर्णय में कहा गया है "इस प्रकार, न्यायालय धारा (a) (2) और (a) (4) दोनों के तहत सीएफएए दावे पर वादी के पक्ष में सारांश निर्णय देता है, इस सिद्धांत पर कि प्रतिवादी अपने प्राधिकरण से अधिक हो गए हैं। प्रतिवादी पूरी तरह से स्वीकार करते हैं कि WIS ने व्हाट्सएप सर्वर के माध्यम से संदेश भेजे थे, जिसके कारण पेगासस को लक्षित उपयोगकर्ताओं के उपकरणों पर स्थापित किया गया था और यह कि WISH तब लक्षित उपयोगकर्ताओं से, व्हाट्सएप सर्वर के माध्यम से और वापस WIS को भेजकर संरक्षित जानकारी प्राप्त करने में सक्षम था। प्रतिवादियों का तर्क है कि पेगासस उनके ग्राहकों द्वारा संचालित किया गया था, और इस प्रकार प्रतिवादियों ने कोई जानकारी एकत्र नहीं की। प्रतिवादियों ने आगे तर्क दिया कि सेवा के संदर्भ में उपयोग किए जाने वाले 'अवैध', 'अनधिकृत,' और 'हानिकारक' जैसे शब्द अस्पष्ट और अस्पष्ट हैं। अंत में, प्रतिवादियों का तर्क है कि वादी ने उन संविदात्मक प्रावधानों को किसी अन्य उपयोगकर्ताओं के खिलाफ सुनिश्चित करने में विफल रहने से माफ कर दिया। अदालत को प्रतिवादियों द्वारा उठाए गए तर्कों में कोई योग्यता नहीं मिली।
कोर्ट ने कहा, "प्रतिवादी इस बात पर विवाद नहीं करते हैं कि उन्होंने डब्ल्यूआईएस को विकसित करने के लिए व्हाट्सएप सॉफ्टवेयर को रिवर्स-इंजीनियर और/या डीकंपाइल किया होगा, लेकिन बस इस संभावना को बढ़ाते हैं कि उन्होंने सेवा की शर्तों से सहमत होने से पहले किया था। हालांकि, जैसा कि ऊपर चर्चा की गई है, प्रतिवादियों ने सेवा की शर्तों के लिए अपने समझौते के बारे में सबूत रोक दिए हैं। इसके अलावा, सामान्य ज्ञान यह तय करता है कि प्रतिवादियों ने रिवर्स-इंजीनियरिंग और/या इसे डीकंपाइल करने से पहले व्हाट्सएप सॉफ़्टवेयर तक पहुंच प्राप्त की होगी, और वे इस बात के लिए कोई प्रशंसनीय स्पष्टीकरण नहीं देते हैं कि वे सेवा की शर्तों से सहमत हुए बिना सॉफ़्टवेयर तक पहुंच कैसे प्राप्त कर सकते थे। तदनुसार, अदालत ने निष्कर्ष निकाला कि वादी ने पर्याप्त रूप से एक उल्लंघन स्थापित किया है।"
टोरंटो विश्वविद्यालय की साइबर सुरक्षा अनुसंधान प्रयोगशाला सिटीजन लैब के अनुसार, एनएसओ ग्रुप के प्रमुख स्पाइवेयर पेगासस को सबसे परिष्कृत स्पाइवेयर में से एक माना जाता है, जो आईओएस और एंड्रॉइड दोनों उपकरणों में घुसपैठ कर सकता है. पेगासस को "एक विश्व-अग्रणी साइबर इंटेलिजेंस समाधान के रूप में वर्णित किया गया है जो कानून प्रवर्तन और खुफिया एजेंसियों को दूरस्थ रूप से और गुप्त रूप से किसी भी मोबाइल डिवाइस से मूल्यवान खुफिया जानकारी निकालने में सक्षम बनाता है"।
सिटिजन लैब के अनुसार, किसी लक्ष्य की निगरानी के लिए, एक पेगासस ऑपरेटर कई वैक्टर (प्रवेश बिंदु जिसके द्वारा एक हमलावर कंप्यूटर सिस्टम तक अनधिकृत पहुंच प्राप्त करता है: दुर्भावनापूर्ण ईमेल अटैचमेंट, एक दुर्भावनापूर्ण लिंक भेजना या त्वरित संदेश कार्यक्रम के माध्यम से दुर्भावनापूर्ण फाइल भेजना) और रणनीति का उपयोग करता है।
वैक्टर में से एक जहां व्हाट्सएप के माध्यम से। 2019 में, यह पता चला कि हमलावर व्हाट्सएप वॉयस कॉल के माध्यम से आईफोन और एंड्रॉइड दोनों पर पेगासस सॉफ्टवेयर इंस्टॉल करने में सक्षम थे।
2019 की व्हाट्सएप हैकिंग में भारत सहित दुनिया भर के राजनीतिक असंतुष्टों और पत्रकारों सहित नागरिक समाज के 1400 से अधिक सदस्यों और मानवाधिकार कार्यकर्ताओं को निशाना बनाया गया था। 30 अक्टूबर, 2019 को, फेसबुक (Meta) ने पुष्टि की कि पेगासस ने भारतीय मानवाधिकार वकीलों, पत्रकारों, दलित अधिकार कार्यकर्ताओं और विपक्षी दलों के सदस्यों को निशाना बनाया।
29 अक्टूबर, 2019 को, व्हाट्सएप ने एनएसओ समूह के खिलाफ मुकदमा दायर किया और एनएसओ को अपनी सेवा का उपयोग करने से प्रतिबंधित करने के लिए स्थायी निषेधाज्ञा की भी मांग की। इसमें कंप्यूटर फ्रॉड एंड एब्यूज एक्ट के उल्लंघन का आरोप लगाया गया था।
आतंकवाद-विरोधी कानून, गैरकानूनी गतिविधियां (रोकथाम) अधिनियम, 1967 के तहत कुख्यात भीमा-कोरेगांव एल्गार परिषद में आरोपी पत्रकारों, मानवाधिकार कार्यकर्ताओं, दलित अधिकारों और जाति-विरोधी कार्यकर्ताओं को स्पाइवेयर का प्राथमिक लक्ष्य कहा गया था . उन्होंने दावा किया कि हैकिंग के जरिए उनके उपकरणों पर डिजिटल सबूत प्लांट किए गए। भीमा कोरेगांव में, 2018 में प्रतिबंधित कम्युनिटी पार्टी ऑफ इंडिया (माओवादी) का समर्थन करने और प्रधानमंत्री की हत्या करने और सरकार को उखाड़ फेंकने की साजिश रचने के आरोप में 16 लोगों को गिरफ्तार किया गया था. इन सभी पर अभी मुकदमा चलना बाकी है।
जब जासूसी के आरोपों पर प्रतिक्रिया हुई तो भारत के सुप्रीम कोर्ट ने व्यापक और लक्षित निगरानी के आरोपों की जांच के लिए एक स्वतंत्र समिति नियुक्त की। 2022 में, सुप्रीम कोर्ट ने मौखिक रूप से कहा कि समिति को कुछ फोन में मैलवेयर मिला, हालांकि यह पुष्टि नहीं कर सका कि यह पेगासस था। न्यायालय ने समिति की शिकायत का भी खुलासा किया कि केंद्र ने सहयोग नहीं किया।
अमेरिका में स्थित एक डिजिटल फोरेंसिक परामर्श कंपनी, आर्सेनल कंसल्टिंग ने पुष्टि की थी कि भीमा कोरेगांव के कुछ आरोपी व्यक्तियों को पेगासस द्वारा लक्षित किया गया था.
चूंकि एनएसओ समूह की नीति केवल सरकारी ग्राहकों को स्पाइवेयर की आपूर्ति करने की थी, इसलिए प्रधानमंत्री नरेंद्र मोदी के नेतृत्व वाली सत्तारूढ़ सरकार असंतोष को दबाने के लिए जासूसी के लिए रडार पर आ गई, विलय की एक और संभावना यह थी कि भारतीय आबादी एक विदेशी सरकार द्वारा निगरानी का लक्ष्य थी।
कथित तौर पर, दुर्भावनापूर्ण कोड जिसके माध्यम से सॉफ़्टवेयर में घुसपैठ की जा सकती है, उसे व्हाट्सएप कॉल के माध्यम से प्रेषित किया जा सकता है, भले ही उपयोगकर्ता उनकी कॉल का जवाब न दें। अक्सर, कॉल लॉग से भी कॉल गायब हो जाते थे। स्पाइवेयर तब फोन के माइक्रोफोन और कैमरे को बदल सकता है और ईमेल, और संदेशों की निगरानी कर सकता है और उपयोगकर्ताओं की गतिविधियों को ट्रैक कर सकता है।
एनएसओ समूह ने दावा किया था कि यह केवल सरकारी ग्राहकों को सख्ती से अपने स्पाइवेयर बेचता है। यह निर्यात इस्रायल के कानून के अनुसार किया जा रहा है, ऐसा दावा भी किया गया है। पेगासस सख्त जांच के दायरे में तब आया जब यह बताया गया कि इसका इस्तेमाल अमेरिका स्थित सऊदी अरब के पत्रकार जमाल खशोगी और उनके परिवार के सदस्यों को निशाना बनाने के लिए किया गया, खशोगी की तुर्की में हत्या कर दी गई।