WhatsApp simplemente solucioné una vulnerabilidad que permitía a los actores malintencionados instalar programas espía de forma remota en los teléfonos afectados, y un número desconocido supuestamente lo hizo con un paquete de indagación comercial que generalmente se vende a los estados-nación.
La vulnerabilidad (documentada aquí) fue descubierta por WhatsApp, propiedad de Facebook, a principios de mayo, confirmó la compañía a TechCrunch. Al parecer, aprovechó un error en la función de llamada de audio de la aplicación para permitir que la persona que llama permitiera la instalación de spyware en el dispositivo que se está llamando, ya sea que la llamada haya sido contestada o no.
El spyware en cuestión que se detectó como instalado fue el Grupo NSO con sede en Israel. Pegasus, que generalmente tiene (aparentemente) una licencia para los gobiernos que buscan infectar los objetivos de las investigaciones y obtener acceso a varios aspectos de sus dispositivos.
Esto es, como se puede imaginar, un agujero de seguridad extremadamente grave, y es difícil arreglar la ventana durante la cual estuvo abierta, o cuántas personas se vieron afectadas por ella. Sin saber exactamente qué era el exploit y qué datos mantiene WhatsApp con respecto a ese tipo de actividad, solo podemos especular.
La compañía dijo que sospecha que un número relativamente pequeño de usuarios fueron atacados, ya que su implementación no sería trivial, limitándola a actores avanzados y altamente motivados.
Una vez alertado sobre la existencia del problema, la compañía dijo que tardó menos de 10 días en realizar los cambios necesarios en su infraestructura que harían el ataque inoperable. Después de eso, se envió una actualización al cliente que aseguró aún más la vulnerabilidad.
"WhatsApp alienta a las personas a actualizarse a la última versión de nuestra aplicación, así como a mantener actualizado su sistema operativo móvil, para protegerse contra posibles ataques dirigidos diseñados para comprometer la información almacenada en dispositivos móviles", dijo la compañía en un comunicado.
Entonces, ¿qué pasa con el Grupo NSO? ¿Es este ataque su trabajo también? La compañía le dijo al Financial Times, que informó por primera vez el ataque, que estaba investigando el problema. Pero señaló que tiene cuidado de no involucrarse con las aplicaciones reales de su software: revisa a sus clientes e investiga los abusos, dijo, pero no tiene nada que ver con la forma en que se usa su código o contra quién.
WhatsApp no nombró a NSO en sus comentarios, pero sus sospechas parecen claras:
"Este ataque tiene todas las características de una empresa privada que se sabe que trabaja con los gobiernos para entregar software espía que supuestamente asume las funciones de los sistemas operativos de teléfonos móviles".
Naturalmente, cuando una aplicación centrada en la seguridad como WhatsApp encuentra que una empresa privada, al menos potencialmente, ha estado vendiendo en secreto una vulnerabilidad conocida y peligrosa de sus protocolos, existe cierta enemistad. Pero todo es parte del juego de 0 días, una carrera de armamentos para proteger o violar las últimas medidas de seguridad. WhatsApp notificó al Departamento de Justicia ya "varias organizaciones de derechos humanos" sobre el tema.
Debería, como sugiere WhatsApp, mantener siempre sus aplicaciones actualizadas para situaciones como esta, aunque en este caso el problema pudo solucionarse en el backend antes de que los clientes pudieran ser parcheados.
Source link