Facebook ha confermato la presenza di una falla di sicurezza all'interno della sua applicazione di messaggistica istantanea WhatsApp, un "buco" che può essere utilizzato per inserire spyware all'interno dei telefoni Android e iOS semplicemente chiamando l'utente preso di mira. Una vulnerabilità gravissima sfruttata da un malware sviluppato dall'agenzia israeliana NSO, che può essere installato senza lasciare tracce e senza che l'utente chiamato debba necessariamente rispondere alla chiamata. In pratica, un bug clamoroso che ha messo a rischio una delle applicazioni considerate come più sicure in virtù della sua crittografia end-to-end.
WhatsApp: "Aggiornate le app"
Eppure proprio WhatsApp poteva essere utilizzato come un cavallo di Troia per introdurre spyware all'interno dei telefoni, un software che poi era in grado di accedere a fotocamere e microfono del dispositivo, leggere le email e i messaggi e raccogliere le informazioni sulla posizione dell'utente. Una falla gravissima che ha costretto il servizio a riconoscere il problema e a invitare tutti i suoi 1,5 miliardi di utenti ad aggiornare l'applicazione immediatamente con l'ultimo update rilasciato su tutti i negozi digitali. "WhatsApp incoraggia gli utenti ad aggiornare l'app all'ultima versione e mantenere il sistema operativo aggiornato per proteggersi da potenziali attacchi pensati per compromettere informazioni contenute nei dispositivi mobile" si legge nella nota dell'azienda.
La falla su WhatsApp
La vulnerabilità è stata scoperta ad inizio maggio ed è stata risolta dopo un attacco avvenuto domenica, quando un avvocato inglese impegnato nella difesa dei diritti umani è stato attaccato dal software Pegasus dell'NSO. L'attacco è stato bloccato da WhatsApp. L'azienda sta ora investigando sulla situazione ma non è attualmente in grado di stimare il numero di telefoni colpiti dallo spyware. "Questo attacco indica la presenza di un'azienda che sa come lavorare con i governi per installare spyware che possono controllare le funzioni degli smartphone" si legge nella nota di Whatsapp. "Abbiamo istruito alcune organizzazioni per i diritti umani sulla questione e lavoreremo con loro nelle prossime settimane".
Cos'è Pegasus, lo spyware israeliano
L'agenzia israeliana NSO afferma di vendere il suo software Pegasus ai governi e alle autorità per aiutarle a combattere il terrorismo e i criminali. Il suo spyware, però, è stato utilizzato da paesi, organizzazioni e singoli per colpire le organizzazioni in difesa dei diritti umani. Nel 2016 lo spyware dell'NSO è stato utilizzato per attaccare un attivista degli Emirati Arabi chiamato Ahmed Mansoor. Nel 2018 il software ha colpito una giornalista televisiva e altri 11 bersagli durante un'investigazione sul presidente messicano. Secondo i ricercatori, il software è stato utilizzato da almeno 45 paesi con l'obiettivo di controllare dissidenti, giornalisti e civili.
