Kwetsbaarheid in WhatsApp liet hackers spyware op telefoons installeren

Hackers konden via een kwetsbaarheid in chat-app WhatsApp commerciële spyware ontwikkeld door het Israëlische bedrijf NSO Group injecteren in telefoons. Dat meldt The Financial Times. WhatsApp, dochterbedrijf van Facebook, ontdekte de kwetsbaarheid begin mei. 

Het bedrijf ontdekte begin deze maand dat de software op zowel iPhones als Android-telefoons te installeren was door doelwitten op te bellen met de telefoonfunctie van de app. De malafide code kon verzonden worden, ook als gebruikers hun telefoon niet opnamen. Daarnaast verdwenen de telefoontjes veelal uit de belgeschiedenis.

Een ingewijde stelt dat WhatsApp nog in een te vroeg stadium van zijn eigen onderzoeken naar de kwetsbaarheid zit om in te schatten hoeveel telefoons het doelwit waren van de aanval. Het bedrijf stelt zelf dat het een team van engineers in San Francisco en Londen heeft die constant werken om de kwetsbaarheid te dichten. Gisteren werd een patch uitgebracht voor gebruikers van de app.

“Deze aanval heeft alle kenmerken van een privaat bedrijf waarvan bekend is dat het met overheden werkt, om spyware te leveren dat de functies van mobiele besturingssystemen overneemt”, aldus het bedrijf. Het probleem werd vorige week gemeld bij het Amerikaanse ministerie van Justitie, aldus een ingewijden. Een woordvoerder van het ministerie weigerde te reageren.

Advocaat

Terwijl ontwikkelaars van WhatsApp afgelopen weekend werkten om het lek te dichten, werd de telefoon van een Britse mensenrechtenadvocaat aangevallen met dezelfde methode. De advocaat, die onbekend wilde blijven, heeft een groep Mexicaanse journalisten en critici op de overheid, en een Saoedische dissident die in Canada woont, geholpen om NSO in Israël aan te klagen. Daarbij werd geclaimd dat het bedrijf medeverantwoordelijk is voor misbruik van zijn software door klanten.

De NSO Group zelf zegt dat het klanten doorlicht en het misbruik onderzoekt. Toen de Financial Times naar de aanvallen via WhatsApp vroeg, zei het bedrijf het probleem te onderzoeken.

“NSO is onder geen enkele omstandigheid betrokken bij het uitvoeren of identificeren van doelwitten van zijn technologie, die alleen gebruikt wordt door inlichtingendiensten en de politie”, aldus het bedrijf. “NSO zou zijn technologie niet willen en kunnen gebruiken om een persoon of organisatie aan te vallen, inclusief deze Britse advocaat.”