Facebook ha intentato una causa contro la società israeliana di sorveglianza mobile NSO Group, sostenendo che era attivamente coinvolta nell’hacking degli utenti del suo servizio di messaggistica WhatsApp crittografato end-to-end (significa che i messaggi sono protetti con dei “lucchetti” prima ancora di essere inviati ai server del servizio e possono essere visualizzati solo da chi detiene le giuste chiavi per decifrarli, cioè i rispettivi mittenti e destinatari; tutti gli altri, compresi i gestori del servizio ed eventuali “spioni”, non possono accedere ai messaggi e visualizzarne il contenuto).
È stato scoperto all’inizio di quest’anno che WhatsApp aveva una vulnerabilità critica, ha permesso agli hacker di installare lo spyware Pegasus creato da NSO Group sui dispositivi Android e iOS degli utenti.
La vulnerabilità (CVE-2019-3568) ha permesso con successo agli aggressori di installare silenziosamente l’app spyware su cellulari mirati semplicemente facendo una videochiamata WhatsApp con richieste appositamente predisposte, anche quando la chiamata non riceveva risposta.
Lo spyware Pegasus sviluppato da NSO Group, consente l’accesso remoto a tutti i dati delle vittime presenti sullo smartphone, inclusi messaggi di testo, e-mail, chat di WhatsApp, dettagli di contatto, registri delle chiamate, posizione, microfono e videocamera.
Pegasus è il prodotto distintivo di NSO, due anni fa è stato utilizzato per colpire diversi attivisti e giornalisti per i diritti umani, dal Messico agli Emirati Arabi Uniti, personale di Amnesty International in Arabia Saudita e all’inizio dell’anno scorso un altro difensore dei diritti umani saudita con sede all’estero.
Will Cathcart, responsabile di WhatsApp, ha detto che l’azienda ha prove del coinvolgimento diretto del Gruppo NSO nei recenti attacchi contro gli utenti di WhatsApp, sebbene la società israeliana affermi sempre che vende legalmente i propri spyware solo ai governi senza coinvolgimento diretto.
Violato i termini di servizio di WhatsApp
Facebook in una causa intentata presso il tribunale distrettuale degli Stati Uniti a San Francisco (vedi Pdf), ha dichiarato che NSO Group ha violato i termini di servizio di WhatsApp utilizzando i suoi server per diffondere lo spyware su circa 1.400 dispositivi mobili durante un attacco di aprile e maggio di quest’anno. Ritiene inoltre che l’attacco abbia preso di mira “almeno 100 membri della società civile, che è un inconfondibile modello di abuso”, sebbene affermi che questo numero potrebbe aumentare man mano che si presentano nuove vittime.
WhatsApp di proprietà di Facebook in un post sul blog ha detto:
«Quest’attacco è stato sviluppato per accedere ai messaggi dopo che sono stati decifrati su un dispositivo infetto, abusando delle vulnerabilità in app e dei sistemi operativi che alimentano i nostri telefoni cellulari.
Gli imputati (attaccanti) hanno creato account WhatsApp che hanno usato e fatto utilizzare per inviare codice dannoso in aprile e maggio 2019. Gli account sono stati creati utilizzando numeri di telefono registrati in diverse contee, tra cui Cipro, Israele, Brasile, Indonesia, Svezia e Paesi Bassi».
Gli utenti interessati includono avvocati, giornalisti, attivisti per i diritti umani, dissidenti politici, diplomatici e altri alti funzionari governativi stranieri, con numeri WhatsApp di diversi codici di paesi, tra cui il Regno del Bahrain, gli Emirati Arabi Uniti e il Messico.
WhatsApp ha dichiarato che l’azienda ha inviato una nota di avvertimento a tutti i 1.400 utenti interessati colpiti da quest’attacco, informandoli direttamente dell’accaduto.
Facebook ha anche citato la società madre del gruppo NSO ‘Q Cyber Technologies’ come secondo imputato, nella causa è riportato:
«Hanno violato le leggi statunitensi e californiane nonché i Termini di servizio di WhatsApp, che vietano questo tipo di abuso».
