Bastava receber uma chamada no WhatsApp, mesmo que não fosse atendida, para que um spyware fosse instalado no smartphone. Falha foi corrigida esta segunda-feira.
Uma falha de segurança no WhatsApp permitia que uma empresa israelita injetasse software de espionagem em qualquer smartphone, iOS ou Android, que tivesse a aplicação instalada. Para ser infetado bastava que o utilizador recebesse uma chamada através da aplicação – mesmo que não a atendesse.
A revelação é feita pela publicação Financial Times e já foi confirmada pelo próprio WhatsApp, que pertence ao Facebook. Segundo as informações reveladas, a vulnerabilidade foi descoberta pelos engenheiros da tecnológica no início do maio e uma correção começou a ser distribuída nos servidores da empresa na sexta-feira passada.
Desde esta segunda-feira que está disponível uma atualização para iOS e Android que todos os utilizadores devem fazer para não ficarem vulneráveis.
O software que era instalado através da chamada foi criado pela empresa israelita NSO, conhecida pelo seu software Pegasus – que permite ter acesso às chamadas, câmara, contactos, mensagens e localização do smartphone da vítima.
Leia também | Usa o WhatsApp? Eis 6 ‘segredos’ que precisa mesmo de conhecer
Até ao momento o WhatsApp ainda não sabe quantos utilizadores podem ter sido vítimas de espionagem por causa desta vulnerabilidade. O que a empresa sabe é que o software malicioso tinha a capacidade para fazer desaparecer o registo da chamada recebida, o que dificulta ao utilizador saber se foi ou não afetado.
“Este ataque tem todas as características de uma empresa privada conhecida por trabalhar com governos para distribuir spyware que alegadamente ganha controlo sobre determinadas funções do sistema operativo dos smartphones. Notificamos várias organizações de direitos humanos para partilhar a informação que podemos e para trabalhar com eles no alerta à sociedade civil”, disse fonte do WhatsApp.
Já a empresa israelita NSO, confrontada com este facto, disse que está a investigar o caso, mas recusou ter sido responsável pelo ataque – por norma a empresa não faz diretamente os ataques, fornece sim a tecnologia para que governos e outras entidades possam atacar os seus alvos, muitas vezes ativistas dos direitos humanos e até jornalistas.