Služba prevádzkovaná Facebookom umožňuje vlastníkom inteligentných telefónov okrem iného hlasovú komunikáciu prostredníctvom internetu. Škodlivý softvér sa údajne mohol do zariadenia dostať cez prichádzajúce volania, a to aj keď adresát hovor neprijal. Telefonáty potom často mizli zo záznamov, píše FT.
WhatsApp používa po celom svete okolo 1,5 miliardy ľudí. Podľa britského denníka neboli pracovníci firmy ihneď schopní odhadnúť, koľko telefónov sa stalo terčom odhalenej metódy. Ešte v nedeľu, zatiaľ čo programátori pracovali na odstránení chyby, bol cieľom takéhoto útoku právnik angažujúci sa v ľudskoprávnych kauzách žijúci v Británii. Denník The New York Times (NYT) podotýka, že tento právnik sa zúčastňuje sporov, v ktorých NSO Group čelí obvineniam, že poskytla nástroje umožňujúcich vniknutiu do telefónov aktivistov z Mexika, Saudskej Arábie a Kataru.
Podľa WhatsApp pokus nakaziť telefón londýnskeho právnika zlyhal pre uskutočnené protiopatrenia. Firma predpokladá, že cieľom kybernetického útoku cez slabé miesto aplikácie boli len vybraní používatelia. V pondelok vydala „záplatu“ bezpečnostnej medzery a vyzvala užívateľov, aby si mobilnú aplikáciu aktualizovali.
„WhatsApp ľuďom odporúča prechod na najčerstvejšiu verziu našej aplikácie a aktualizáciu ich mobilného operačného systému v záujme ochrany pred potenciálnym cieleným zneužitím, ktoré je navrhnuté k získaniu informácií ukladaných na mobilných zariadeniach,“ citoval vyhlásenie WhatsApp denník NYT.
Chatovacia služba sa o probléme dozvedela začiatkom mesiaca. Podľa upozornenia vydaného v noci na utorok sa chyba týkala telefónov s operačným systémom android od Googlu, iPhonov firmy Apple, zariadení so systémom Windows Phone od Microsoftu aj Tizen od Samsungu. „Útok má všetky charakteristické znaky činnosti súkromnej spoločnosti, ktorá údajne spolupracuje s vládami a dodáva špionážny softvér, ktorý prevezme kontrolu nad funkciami operačného systému mobilného telefónu,“ povedal WhatsApp novinárom.
O spojitosti škodlivého programu s izraelskou NSO Group píše okrem FT aj NYT či technologický web TechCrunch. Najznámejším produktom firmy je program s názvom Pegasus, ktorý podľa doterajších informácií vie na mobilnom telefóne zapnúť kameru a mikrofón, zbiera dáta o polohe a prehľadáva emailovú a SMS komunikáciu. Firma vydala vyhlásenie, že ona sama svoj softvér do zariadenia neinštaluje a že toto robia iba tajné služby a bezpečnostné orgány.
WhatsApp do vyšetrovania incidentu zapojil americké úrady. Jeho vlastník Facebook sa následne obrátil na írsky úrad pre ochranu osobných údajov (DPC), ktorý sa prednostne zaoberá kauzami kalifornskej spoločnosti, lebo tá má v Írsku svoju centrálu pre aktivity mimo Severnej Ameriky.
„DPC dostal informácie, že slabé miesto mohlo umožniť subjektom s nekalými úmyslami inštalovať neautorizovaný softvér a získať prístup k osobným údajom na zariadeniach, na ktorých je nainštalovaný WhatsApp. WhatsApp stále vyšetruje, či boli v dôsledku tohto incidentu dotknuté dáta užívateľov v EÚ,“ uviedol úrad.