WhatsApp ujawnił dziś lukę, która pozwoliła hakerom zdalnie zainstalować oprogramowanie szpiegujące na telefonach z systemem iOS i Android, wykorzystując błąd w funkcji połączenia audio aplikacji.
Zgodnie z TechCrunch, luka umożliwia zainstalowanie oprogramowania szpiegującego na urządzeniu docelowym, gdy połączenie zostało zainicjowane, niezależnie od tego, czy połączenie zostało odebrane.
Hakerzy wykorzystali tę lukę w zabezpieczeniach, aby zainstalować izraelskie oprogramowanie szpiegujące o nazwie Pegasus z grupy NSO, zwykle licencjonowane dla rządów, które kupują oprogramowanie szpiegujące do instalacji na urządzeniach osób, które są celem dochodzenia.
Problem dotyczy WhatsApp dla Androida przed wersją 2.19.134, WhatsApp Business dla Androida przed wersją 2.19.44, WhatsApp dla systemu iOS przed wersją 2.19.51, WhatsApp Business dla systemu iOS przed wersją 2.19.51, WhatsApp dla systemu Windows Phone przed v2.18.348 i WhatsApp for Tizen przed wersją 2.18.15.
WhatsApp twierdzi, że tylko niewielka liczba użytkowników była celem ataku. Nie jest jednak jasne, jak długo dostępna była luka w zabezpieczeniach ani ile osób zostało dotkniętych.
Według WhatsApp, po wykryciu luki wprowadzenie zmian w infrastrukturze aplikacji zajęło mniej niż 10 dni, aby atak stał się nieskuteczny.
„WhatsApp zachęca ludzi do uaktualnienia do najnowszej wersji aplikacji, a także do aktualizowania swojego mobilnego systemu operacyjnego, aby chronić się przed potencjalnie ukierunkowanymi exploitami mającymi na celu złamanie bezpieczeństwa informacji przechowywanych na urządzeniach mobilnych”, podała firma w oświadczeniu dla TechCrunch.
WhatsApp mówi, że powiadomił Departament Sprawiedliwości i „liczbę organizacji praw człowieka” o tej kwestii. Grupa NSO, według The Financial Times, twierdzi, że bada tę kwestię, ale podczas gdy sprawdza swoich klientów i bada nadużycia, nie ma żadnego związku z tym, jak kod jest używany i gdzie.
Klienci WhatsApp nie muszą martwić się o exploit, ponieważ w piątek serwis zaktualizował stronę serwera, wydając dodatkową łatę.