maggio di quest’anno ho riportato la scoperta di una vulnerabilità zero-day di WhatsApp. Questa vulnerabilità veniva sfruttata dallo spyware dell’israeliana NSO Group (un’azienda che vende spyware a governi e polizie in molti paesi del mondo e della quale mi sono occupato molte volte) per spiare un quantitativo imprecisato di persone.
Il servizio di messaggistica dovette rilasciare un aggiornamento urgente per oltre un miliardo e mezzo di utenti. Dopo sei mesi di indagini WhatsApp ha scoperto che l’exploit è stato sfruttato dal software di NSO Group – chiamato Pegasus – per spiare circa 1.400 telefoni, molti dei quali (almeno 100) appartenenti a giornalisti, attivisti dei diritti umani e dissidenti politici.
Nonostante lo spyware sia venduto a governi e forze dell’ordine (l’azienda ha affermato che fra i suoi clienti vi sono 20 paesi dell’Unione Europea) WhatsApp ha deciso di fare causa direttamente a NSO Group in una corte degli Stati Uniti con l’accusa di hacking.
Sarà interessante assistere allo svolgimento della procedura legale, anche per comprendere lo status giuridico dei fornitori “ufficiali” di spyware quando uno dei loro clienti lo usa per violare le leggi di un Paese estero.
Ne parla il Financial Times (paywall).
Inside the WhatsApp hack: how an Israeli technology was used to spy