Már a cég is elismerte, hogy egy súlyos sebezhetőség kihasználásával kémprogramot telepíthettek kiberbűnözők a WhatsApp mobilos kliensére. A sérülékenységet javították, ezért aki nem tette meg, mielőbb frissítse az appot.

A Facebook tulajdonában lévő csevegőprogram hanghívási protokolljában volt egy olyan kritikus biztonsági rés, amit a támadóknak nagyon egyszerű módot biztosított kémprogram telepítésére. Egyszerűen felhívták a kiszemelt célpontot, és utána a kártékony program akkor is települt, ha a hívott fél nem fogadta a hívást.

Professzionális támadások lehettek

Az elkövetők nagy valószínűséggel profik voltak, ugyanis az egyik legprofibb kémszoftvert használták, az NSO Group által fejlesztett Pegasust. Az NSO csak kormányzati megrendelésre dolgozik, kulcsfontosságú szerepet kap az izraeli kiberhadviselésben. Ilyen célokat szolgál a Pegasus nevű kémprogramja is, amit több ország titkosszolgálata és nyomozati szerve használ, természetesen nagyon szigorúan szabályozott felhasználási feltételek mellett.

Az NSO-nak nem ez volt az első problémája a Pegasus felhasználásával. Néhány éve az iOS-ben találtak három nulladik napi sérülékenységet, amit kihasználva kémprogramot lehetett telepíteni Apple eszközökre, és ki lehetett olvasni a kernelmemória tartalmát. Kutatók akkor azt állították, hogy a sérülékenységet szintén az NSO Group kémprogramjával használták ki (itt írtunk a biztonsági incidensről).

Biztonsági kutatók szerint a Pegasus szofisztikált funkciói révén megkerüli az operációsrendszer- és az alkalmazásszintű biztonsági eszközöket is, így hozzáférést szerezhet – többek között – a Gmailhez, a Facebookhoz, a WhatsApphoz, a FaceTime-hoz, a Viberhez, a WeChathez, a Telegramhoz és az Apple beépített üzenetküldő és e-mailező alkalmazásaihoz.

Az NSO gyorsan reagált a WhatsApp-ügyre is, és elhárított minden felelősséget. Hangsúlyozta, hogy a programot csakis kormányzati ügyfeleknek értékesíti, és nem üzemelteti. A szoftver felhasználásáról minden esetben a vevő dönt. Ugyanakkor minden ilyen incidenst kivizsgálnak, így ebben az esetben is így fognak eljárni.

Nem tudni mióta és kiknél hallgatóznak

A sérülékenységet bő két hete fedezték fel, de azt nem nagyon lehet tudni, hogy a csetprogram másfél milliárd felhasználójából hányan váltak célponttá. Potenciálisan azonban minden WhatsApp-használó veszélyben van. A Pegasus ellen ugyanis a csetprogram végponti titkosítása sem védett, a kémszoftver ugyanis képes azt megkerülni, és ezáltal hozzáfért bármilyen üzenethez. Emellett arról is gondoskodott, hogy a hallgatózásnak ne maradjon nyoma, ugyanis a támadást indító hanghívás a fertőzés után azonnal törlődött az aktivitásnaplóból.

A WhatsApp szerint a támadás több olyan jellegzetessége van, ami kormányok megbízásából tevékenykedő hekkerekre utal. A cég a biztonsági rés felfedezésekor azonnal módosította a háttérrendszereit, majd múlt héten az androidos és az iOS-es kliensből is kiadott egy új verziót, amiben már befoltozták a biztonsági rést. Aki még nem tette meg, frissítsen.