E安全9月14日讯  八月，研究人员揭露称，他们在阿联酋持不同政见者Ahmed Mansoor的手机上发现了以色列黑客公司NSO Group的恶意软件。这起攻击背后的最大嫌疑对象为阿联酋政府。

YNet News近期报道称，NSO取得出口许可证，将产品售卖给不愿透露姓名的“阿拉伯国家一家私有企业”，而不是直接售卖给政府。

Amnesty International的技术专家Claudio Guarnieri表示，“监视业务通常依赖经销商和与当地政府有密切关联的本地公司。”

漏洞利用开发人员与部署人员的关系也许甚远

监视公司之间的这类关系是行业的既定部分。该行业是开发人员、经销商与客户之间的复杂网络。链条中将事情弄糟的风险就在于滥用此类技术的负责人。

开发漏洞利用的人员也许与部署人员的关系甚远，当记者和活动分子继续成为监视公司产品的目标时，罪恶行为变得更为紧迫。

Guarnieri表示，“如果NSO轻率地将漏洞利用售卖给另一公司，他们就失去了对漏洞利用的控制，这是不负责任的危险行为。监视公司需要为自己的行为负责，应考虑人权影响，并使销售政策更为严密。就个人而言，我想邀请他们走上正道，并将这些漏洞修复。”

NSO绝不是行业仅有的例子。例如，意大利恶意软件公司Hacking Team从法国供应商Vupen和新加坡公司Coseinc采购了一些漏洞利用。Hacking Team会继续将产品销售给人权记录不良的国家，比如埃塞俄比亚、苏丹、沙特阿拉伯和阿联酋。

许多监视公司声称会审查客户，包括NSO。NSO的发言人Zamir Dahbash向Motherboard发送了一份公司针对此事的声明：“公司仅将产品售卖予经认可的政府机构，并严格遵守出口管制的法律法规。此外，公司未操作任何系统；公司是严格意义上的技术公司。与公司客户签订的协议要求公司产品只用于合法用途。具体而言，产品只能用于防止和调查犯罪。”

当涉及到法律责任，将产品售卖给中间商也许会成为工具供应公司和产品最终用户滥用行为之间的缓冲地带。

布鲁金斯学会智库国家安全人员兼前任国家安全局律师Susan Hennessey表示，“NSO Group可能与最终用户形成合同关系。合同条款也许会包含赔偿条款。”换句话讲，如果顾客继续以伤害某人的方式使用产品，或违背预先签订的协议，原卖方可以免除法律赔偿。

“审查公司或政府不再是简单或困难的问题”。

网络安全公司Netragard的首席执行官Adriel Desautels表示，“大多数合同实际上都以标准语言拟定，不只限于软件合同”。Netragard曾将零日漏洞利用工具销售给Hacking Team，但该公司去年7年停止销售漏洞利用工具。更多Hacking Team不法行为的证据曝光后，Netragard称，“披露事件证明我们不能完全审查新买家的道德标准和意图。”

Desautels表示，“审查公司或政府不再是简单或困难的问题。如果你审查某人，并且你相信你发现即为真相，然后你与他们合作。如果之后，你发现他们不诚实，你便会终止与他们合作。”

然而，Desautels认为使用技术的责任最终落到实际部署技术的攻击者头上。“各行各业都是如此。比如，微软将操作系统销售给终端用户。如果其中一个终端用户使用操作系统入侵某人并造成伤害，微软有责任吗？当然没有。”

但NSO以及诸如此类的公司售卖的不是普通无害的操作系统：他们销售的是专门设计用来接管并完全控制设备的工具。的确，这就是入侵软件被贴上“两用技术”标签并通过出口审查的重点所在；这种软件具有正面和负面双重用途。正常的操作系统不具备这样的称呼。

即使NSO会审查客户，强大的技术显然最终落到高压政权以及明显有滥用监视工具前科的人手上。

Guarnieri表示，“至少，对他们以及任何人再明显不过的是，这也许就是不适当的交易。”

Hennessey表示，“至于更广泛的道德问题，谁负责这类滥用行为：我不确定法律能真正解释或以满意的方式解决。”

E安全注：本文系E安全编辑报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。