В мессенджере WhatsApp, принадлежащем Facebook, найдена крупная уязвимость, которая позволяет злоумышленникам загрузить на смартфон жертвы шпионское ПО во время голосового звонка. Причем устройство может быть заражено даже в том случае, если абонент не ответил на вызов.

Ошибка была допущена не только в Android и iOS, но и в других версиях приложения. Инженеры WhatsApp узнали о ней в начале мая и работали над исправлением последние несколько дней. Представители компании призвали пользователей как можно скорее обновить программу, "чтобы защититься от потенциальных целевых эксплойтов, созданных для компрометации информации, хранящейся на мобильных устройствах".

Узявимы следующие версии мессенджера:

WhatsApp для Android (до версии 2.19.134)
WhatsApp Business для Android (до версии 2.19.44)
WhatsApp для iOS (до версии 2.19.51)
WhatsApp Business для iOS (до версии 2.19.51)
WhatsApp для Windows Phone (до версии 2.18.348)
WhatsApp для Tizen (до версии 2.18.15)

По информации The Financial Times, эксплойт разработала израильская NSO Group. Эта фирма известна как автор шпионского инструмента Pegasus, с помощью которого можно дистанционно активировать микрофон и камеру, а также перехватывать хранящуюся на устройстве информацию, включая СМС, почтовую переписку, историю звонков и геолокацию. Ранее против NSO Group было подано несколько исков: компанию подозревают в продаже Pegasus иностранным правительствам, занимающимся слежкой за правозащитниками и журналистами.

В NSO Group опровергают информацию об утечке и отрицают, что их разработка может быть направлена на отдельных лиц или компаний. Пользуются Pegasus "исключительно разведывательные и правоохранительные органы", заявили в пресс-службе.

Как много человек могло пострадать из-за ошибки в мессенджере, не уточняется. По словам представителей WhatsApp, атаке подверглось "небольшое количество" пользователей.