Obecnie wielu z nas korzysta z jednego, dwóch lub nawet kilku komunikatorów – w zależności od tego, czego używają nasi znajomi. Jednym z najbardziej popularnych jest WhatsApp, który często szczycił się mianem bezpiecznego. Cóż, w takim razie informacja o tym, że smartfony osób korzystających z tej aplikacji były narażone na kradzież danych, pewnie nie przyczyni się do polepszenia jej opinii.
Jeszcze zanim WhatsApp trafił w ręce Facebooka, twórcy tej aplikacji podkreślali, jak bezpieczne dla komunikacji między jej użytkownikami jest szyfrowanie wiadomości end-to-end. Funkcjonalność ta nie zmieniła się po przejęciu przez firmę Marka Zuckerberga, ale okazała się nieskuteczna w walce z innego rodzaju atakiem – nie kryjącym się w tekstowych komunikatach, a połączeniach audio lub wideo. Wykorzystywanie ich do wywoływania inwazyjnych błędów wydaje się być ostatnio popularne.
Na początku roku Apple musiało sobie radzić z krytyczną niedoróbką grupowego FaceTime’a, która pozwalała szpiegować użytkowników za pomocą mikrofonu urządzenia, nawet jeśli ofiara nie odebrała połączenia. Następnie o podobnej luce usłyszeliśmy w Skype na Androida, który automatycznie odbierał połączenia za nas, jeszcze zanim użytkownik mógł je odrzucić.
Z wykorzystaniem funkcji dzwonienia w WhatsAppie wiąże się również ta historia. Według raportu Financial Times, wystarczy otrzymać telefon od nieodpowiedniej osoby, aby na nasz smartfon zostało przesłane oprogramowanie szpiegujące o nazwie Pegasus. Co ciekawe, nawet nie jest konieczne podniesienie słuchawki, by złośliwy kod zaczął działać. Jak każde dobre narzędzie szpiegowskie, zaciera po sobie ślady, usuwając informację o nieodebranym połączeniu z dziennika aplikacji.
Pegasus jest stworzony przez izraelską firmę NSO Group, specjalizującą się w sprzedaży komercyjnych programów szpiegujących rządom i agencjom wywiadowczym. Jej publicznym celem jest pomoc władzom w walce z terroryzmem i przestępczością, więc wydawałoby się, że jej motywacje są słuszne. Sęk w tym, że NSO lubi grać na dwa fronty. Obecnie toczą się przeciwko niej różne procesy sądowe, które mają orzec, czy przedsiębiorstwo dopuściło się nadużyć, zapewniając opresyjnym reżimom narzędzia do śledzenia aktywistów i organizacji, które ich wspierają.
WhatsApp oczywiście od czasu zgłoszenia luki, w pocie czoła pracował nad załataniem jej, i udało się to. Pokazuje to jednak, jak łatwo przychodzi niektórym wykorzystywanie tego typu błędów do osiągania własnych celów, nie zważając na prywatność użytkowników jakiejś platformy czy programu.
źródło: Financial Times przez Slashgear
