Dat schrijft Motherboard op basis van uitspraken van een rechter in een rechtszaak. Het is voor het eerst dat er iets meer details naar buiten komen over de manier waarop de FBI de verdachten hackte.
In 2015 nam de dienst een grote kinderpornowebsite over. Alvorens die te ontmantelen, hield de Amerikaanse opsporingsdienst de website nog twee weken in de lucht om gebruikers – die via het anonieme ‘dark web’ inlogden – in de gaten te houden.
In totaal zou de site ruim 200.000 geregistreerde gebruikers hebben gehad. Met malware zouden 8.700 ip-adressen van bezoekers in 120 landen zijn verzameld. Er zouden minstens 137 Amerikanen officieel aangeklaagd zijn nadat ze de site bezochten.
Rechterlijk bevel
Die malware zou dus via een niet-publiekelijk bekendgemaakte kwetsbaarheid verspreid zijn. Eerder in november kwam naar buiten dat de FBI met in februari 2015 één enkel rechterlijk bevel ruim 8.700 computers in 120 landen gehackt had.
Daarbij zouden niet alle gehackte computers onder het rechterlijke bevel gevallen hebben. In tenminste één zaak werd bewijs dat op die manier verzameld werd ongeldig verklaard.
Zero day
Het gaat overigens vermoedelijk niet om een zero-day-kwetsbaarheid, maar enkel om een kwetsbaarheid die nog niet publiekelijk gemeld was of waarvan nog niet bekend was dat die voor deze doeleinden gebruikt kon worden. De FBI is namelijk bij wet verplicht om zero-day-kwetsbaarheden aan de maker van de software te melden.
Zero-day-kwetsbaarheden zijn kwetsbaarheden waar de maker van de betreffende software nog geen weet van heeft en die dus nog niet gedicht worden.