WhatsApp revela una vulnerabilidad que permitía inyectar spyware en Android e iOS
Un informe del Financial Times describe una vulnerabilidad de WhatsApp que permitía a los atacantes inyectar spyware en los teléfonos.
El código malicioso fue desarrollado por la empresa israelí NSO Group y se podía instalar mediante una llamada realizada a través de WhatsApp en Android e iOS.
El código malicioso podía inyectarse incluso si el usuario no respondía a la llamada de WhatsApp, explica el informe. En muchos casos, la llamada desaparecería de los registros de llamadas, por lo que es posible que usuarios que hayan sido atacados no se hayan dado cuenta.
Muchos detalles sobre la vulnerabilidad siguen sin estar claros, pero el informe sugiere que el agujero estuvo abierto durante varias semanas. En una declaración, WhatsApp dijo:
Este ataque tiene todas las marcas de una empresa privada conocida por trabajar con los gobiernos para entregar software espía que, según se informa, se hace cargo de las funciones de los sistemas operativos de los teléfonos móviles
Hemos informado a varias organizaciones de derechos humanos para compartir la información que tenemos y trabajar con ellas para notificar a la sociedad civil
Según el informe, WhatsApp se encuentra en una fase demasiado temprana de sus propias investigaciones sobre el ataque como para «estimar cuántos teléfonos fueron atacados». WhatsApp es utilizado por más de 1.500 millones de personas en todo el mundo y es propiedad de Facebook.
Según se informa, WhatsApp reveló el problema al Departamento de Justicia de los Estados Unidos la semana pasada y comenzó a implementar una solución en sus servidores el viernes. Los ingenieros trabajaron hasta el domingo antes de implementar un parche para los clientes hoy, dice el informe.
NSO Group desarrolla herramientas como Pegasus que comercializa a gobiernos de todo el mundo como una forma de combatir el terrorismo y el crimen. En una declaración a The Financial Times, dijo que «no usaría ni podría usar su tecnología por cuenta propia para atacar a cualquier persona u organización».