Un atac contra usuaris de WhatsApp permetia instal·lar programes d'espionatge al mòbil

WhatsApp ha hagut de respondre davant un nou error de seguretat a l'aplicació que afecta tots els usuaris que la tinguin instal·lada i no l'hagin actualitzada. Amb una sola trucada sense contestar, l'atacant pot instal·lar al telèfon de les víctimes seleccionades un software d'espionatge. Un cop instal·lat el software, la trucada desapareix dels registres de la víctima i, per tant, no es pot saber que el telèfon ha estat  intervingut.

No se sap qui hi ha darrere d'aquest nou atac, però sí que se sap que el software utilitzat ha estat dissenyat per NSO Group, una empresa israeliana que desenvolupa programes de vigilància i espionatge per a governs.

L'atac, que va ser descobert per WhatsApp a principis del mes de maig, se soluciona amb l'actualització de l'aplicació. Afecta els terminals amb sistemes operatius d'Android, iOS, Windows i Tizen, la plataforma de Linux, 1.500 milions a tot el món. Les víctimes han estat "curosament seleccionades" pel ciberatacant i, malgrat que no se sap el nombre de telèfons afectats, segons WhatsApp no es tracta d'un atac a gran escala. Divendres, WhatsApp va enviar als seus usuaris una actualització que elimina aquest error de seguretat.

A través de Facebook -propietari de WhatsApp- han publicat un missatge on expliquen quines són les versions afectades per l'error.

CVE-2019-3568

Description: A buffer overflow vulnerability in WhatsApp VOIP stack allowed remote code execution via specially crafted series of SRTCP packets sent to a target phone number.

Affected Versions: The issue affects WhatsApp for Android prior to v2.19.134, WhatsApp Business for Android prior to v2.19.44, WhatsApp for iOS prior to v2.19.51, WhatsApp Business for iOS prior to v2.19.51, WhatsApp for Windows Phone prior to v2.18.348, and WhatsApp for Tizen prior to v2.18.15.

Last Updated: 2019-05-13

El més greu d'aquest atac és que tothom que tingui WhatsApp n'era una víctima potencial sense poder-ho evitar, ja que no calia cap acció per part del propietari del telèfon perquè l'atacant hi pogués entrar. La víctima rebia una trucada d'un número desconegut i, sense necessitat d'obtenir resposta, l'atacant ja podia accedir al telèfon i instal·lar-hi el software maliciós que l'espiaria des d'aquell moment.
 

Va ser l'equip de desenvolupadors de WhatsApp qui va detectar l'error de seguretat i el software d'NSO com a principal sospitós. Un cop detectat, WhatsApp en va informar organitzacions de drets humans, empreses de ciberseguretat i el Departament de Justícia dels Estats Units. Diuen des de WhatsApp que entre les víctimes hi ha membres d'ONGs dedicades a la defensa dels drets humans.

Amnistia Internacional contra NSO

Precisament aquest dimarts, Amnistia Internacional ha donat suport a la petició d'un grup d'israelians que demanen que es retiri a NSO el permís d'exportar el seu programari, que antigament havia servit per espiar membres de l'ONG.

Danna Ingleton, directora adjunta sobre qüestions tecnològiques d'Amnistia Internacional, diu:

NSO Group ven els seus productes a governs coneguts pels seus abusos indignants contra els drets humans, als quals proporciona eines per espiar activistes i persones crítiques amb ells.

L'agost del 2018 un software creat per NSO anomenat Pegasus va ser utilitzat per espiar membres d'Amnistia Internacional i periodistes i activistes de Mèxic, els Estats Units, l'Aràbia Saudíta i els Emirats Àrabs. Segons Amnistia, "mentre aquests programes es venguin sense els controls necessaris, els drets i la seguretat del personal d'Amnistia Internacional i d'altres persones com activistes, periodistes i dissidents de tot el món estaran en perill".

Segons Citizen Lab, un institut canadenc que investiga les amenaces sobre els drets humans llençades des d'internet, el software d'NSO es troba a més de 45 països :

NEW REPORT: Hide and Seek: Tracking NSO Group's Pegasus Spyware to Operations in 45 Countrieshttps://t.co/v3nb3V4VAZ

— Citizen Lab (@citizenlab) September 18, 2018

Amb tot, des d'NSO diuen que la tecnologia que ells creen "es ven només a agències governamentals per lluitar contra el crim i el terrorisme". Segons ells, NSO "no fa servir mai les aplicacions per espiar persones o organitzacions" i el software només és venut després d'un "rigorós procés" de control. Diuen que també s'investiguen totes les al·legacions que els arriben per mal ús del software i poden arribar a bloquejar-ne l'ús si ho creuen necessari.