Mentre Mark Zuckerberg dipinge se stesso e la sua azienda come paladini della privacy 2.0, i suoi servizi continuano a essere cause di momenti abbastanza imbarazzanti e decisamente preoccupanti: un bug di WhatsApp ha consentito a uno o a più attaccanti non ancora resi noti di installare il software malevolo creato dalla società israeliana NSO Group in migliaia di cellulari, trasformandoli in vere e proprie microspie. Infatti, il programma riesce a prendere il controllo dei microfoni, del GPS e delle telecamere dei dispositivi senza che l’utente ne sia messo al corrente. Secondo quanto riportato dal Financial Times (via The Verge), i diversi attacchi sono stati perpetrati sfruttando una vulnerabilità buffer overflow sul protocollo VOIP dell’app che consente di eseguire codice remoto tramite pacchetti di tipo SRTCP: in poche parole, con una semplice telefonata è stato possibile prendere il controllo dell’altrui dispositivo, il tutto senza che l’utente abbia dovuto compiere azioni particolari o cadere in una delle trappole disseminate per il web.
Il bug riguarda le seguenti versioni di WhatsApp:
- WhatsApp per Android precedente alla 2.19.134;
- WhatsApp Business per Android precedente alla 2.19.44;
- WhatsApp per iOS precedente alla 2.19.51;
- WhatsApp Business per iOS precedente alla2.19.51;
- WhatsApp per Windows Phone precedente alla 2.18.348;
- WhatsApp per Tizen precedente alla 2.18.15.
La vulnerabilità è emersa dopo che il software di NSO Group, chiamato Pegasus, è stato utilizzato per lanciare un simile attacco a un avvocato inglese attivista dei diritti umani. Facebook ha subito bloccato l’attacco e avverte i propri utenti di aggiornare le applicazioni sui propri dispositivi, mentre consiglia a chi opera nel settore della protezione dei diritti civili di far controllare i propri smartphone, visto che l’attacco sembra essere stato sferrato col chiaro intento di comunicare i risultati al governo israeliano. Dal canto suo, NSO fa sapere che Pegasus è venduto ai governi di tutto il mondo perché possano utilizzarlo per la lotta al terrorismo, ma omette di specificare che, di fatto, è utilizzato dalle nazioni caratterizzate da regimi totalitari.