WhatsApp dicht lek dat installatie spionagesoftware mogelijk maakte

Door een lek in de belfunctie van WhatsApp konden buitenstaanders programmatuur installeren om ongezien binnen te dringen in smartphones.

Archiefbeeld. De omvang van de gevolgen van het beveiligingslek worden nog onderzocht, stelt WhatsApp.
Archiefbeeld. De omvang van de gevolgen van het beveiligingslek worden nog onderzocht, stelt WhatsApp. Foto Patrick Sison/AP

Berichtendienst WhatsApp heeft een lek in de app gedicht waarmee spionagesoftware geïnstalleerd kon worden op smartphones. De software is ontwikkeld door het Israëlische bedrijf NSO Group, meldt de Financial Times (FT) dinsdag. Het lek werd begin mei ontdekt, en is afgelopen zondag gedicht.

Whatsapp bevestigt dinsdagmiddag aan persbureau Reuters dat er een lek in de software is ontdekt en gedicht, maar kan nog niet zeggen hoeveel telefoons getroffen zijn. Het zou een „geavanceerde aanval” zijn geweest, en het lijkt er volgens de berichtendienst op dat het ging om „een privaat bedrijf dat samenwerkt met overheden op het gebied van surveillance”. WhatsApp raadt gebruikers aan om zowel de applicatie als het besturingssysteem van hun mobiele apparaten te updaten, om deze te beschermen tegen een dergelijke aanval.

Inkomende oproepen

NSO bouwt software waarmee onder meer inlichtingendiensten zich toegang kunnen verschaffen tot de microfoon en camera van een telefoon, maar ook tot berichten en gps-data. Het bedrijf kon in dit geval software installeren door iemand op te bellen via de telefoonfunctie van de app. Daarvoor hoefde niet eens per se opgenomen te worden. Het telefoontje kon vervolgens weer uit de oproepenlijst verwijderd worden, stelt een beveiligingsdeskundige in FT. Het gat in de beveiliging deed zich op zowel iPhones als Android-telefoons voor.

Ook de Ierse toezichthouder voor persoonsgegevens zegt op de hoogte te zijn van het beveiligingslek. Er wordt nog onderzocht of Europese gebruikers door de spionagesoftware zijn getroffen. Wel staat volgens FT vast dat (zonder succes) is geprobeerd bij een anonieme Britse mensenrechtenadvocaat de software te installeren. Die advocaat is volgens de krant betrokken geweest bij een rechtszaak tegen NSO, dat medeverantwoordelijk zou zijn voor misbruik van zijn spionagesoftware.

NSO Group

NSO heeft aan FT laten weten onderzoek te doen naar de zaak. Het bedrijf zegt de technologie uitsluitend te leveren aan overheidsorganisaties, en nooit op eigen initiatief te gebruiken tegen personen of organisaties, „inclusief deze persoon”, de advocaat. De software van het bedrijf wordt onder meer aangeboden aan regeringen in het Midden-Oosten en het Westen.

Een aantal organisaties stapt dinsdag in Israël naar de rechter om de export van de software aan banden te leggen. Onder de organisaties is ook Amnesty International. Een van de medewerkers van die organisatie zou in augustus vorig jaar bespioneerd zijn met het spionageprogramma Pegasus, dat ook door NSO is ontwikkeld. Door de software aan dubieuze regeringen te verkopen, heeft NSO volgens Amnesty bijgedragen aan „huiveringwekkende aanvallen op verdedigers van mensenrechten over de hele wereld”.