A companhia americana WhatsApp, do Facebook, pediu para seus usuários atualizarem seu aplicativo de mensagens, após a descoberta de uma falha de segurança que permitiu a instalação de um spyware em celulares.

A vulnerabilidade – informada primeiro pelo Financial Times, e reparada na última atualização do WhatsApp – permitiu aos hackers inserir um programa malicioso nos telefones, mediante chamada telefônica aos aparelhos em questão através do aplicativo, que é utilizando por cerca de 1,5 bilhão de pessoas.

Em comunicado enviado à AFP, o WhatsApp pediu para usuários “baixar a última versão de nosso aplicativo, e atualizar o sistema operacional de seu telefone” para eliminar o defeito, que permitiu ter acesso a contatos, mensagens e fotos.

Os hackers também conseguiram ativar microfone e câmera para escutar e ver o ambiente dos donos desses aparelhos Apple ou Android (Google), sem que os proprietários se dessem conta.

O spyware lembra o vírus Pegasus, desenvolvido por uma empresa obscura com sede em Israel chamada NSO Group, explicou à AFP Joseph Hall, especialista da ONG Center for Democracy and Technology – especializada na questão de direitos na internet.

O NSO Group tem uma reputação duvidosa e é acusada de ajudar governos do Oriente Médio e até o México a espionar ativistas e jornalistas.

O Pegasus oferece aos seus clientes acesso a vários recursos de dispositivos hackeados.

O programa de espionagem “poderia ter chegado às mãos de alguém” fora dos canais legítimos, para fins maliciosos, disse Hall.

Segundo ele, a falha permitiu a espionagem de ativistas de direitos humanos, jornalistas e assim por diante. “O perigo potencial é enorme”, acrescentou Hall.

Ironicamente, o WhatsApp é considerado particularmente seguro porque as comunicações são criptografadas: ninguém fora dos interlocutores deve poder acessar o conteúdo graças a uma chave de criptografia.

Como resultado, “esse tipo de aplicativo criptografado” tende a acumular os dados mais sensíveis que as pessoas precisam proteger”, disse Hall.

– Mais um problema para o Facebook –

Esta nova vulnerabilidade de segurança foi descoberta no início deste mês e o WhatsApp rapidamente resolveu o problema, lançando uma atualização em menos de 10 dias.

A empresa não comentou o número de usuários afetados ou quais foram os alvos do ataque, e informou que reportou o caso às autoridades americanas.

Também informou o regulador irlandês de uma “grave falha de segurança”, segundo a Comissão de Proteção de Dados (CPD).

“WhatsApp continua investigando para saber se seus usuários na União Europeia foram afetados pelo incidente”, declarou a CPD em um comunicado.

Essa falha é capítulo mais recente de uma série de problemas do Facebook, proprietário do WhatsApp, que tem enfrentado fortes críticas por permitir que os dados pessoais de seus usuários sejam usados por empresas de pesquisa de mercado.

O Facebook também foi questionado por sua resposta lenta ao uso da plataforma pela Rússia para divulgar informações falsas durante a campanha presidencial americana em 2016.

– Programa muito invasivo –

O programa de espionagem que afetou o WhatsApp é sofisticado e “estaria disponível apenas para atores avançados e altamente motivados”, disse a empresa, acrescentando que “visava um número seleto de usuários”.

“Este ataque tem todas as características de uma empresa privada que trabalha com alguns governos no mundo”, de acordo com as primeiras investigações, continuou, sem fornecer, contudo, o nome da empresa.

O WhatsApp relatou o problema para organizações de direitos humanos, mas também não as identificou.

The Citizen Lab, um grupo de pesquisa da Universidade de Toronto, disse no Twitter que acredita que hackers tentaram atacar um advogado especializado em direitos humanos no último domingo usando essa falha de segurança, mas o WhatsApp os impediu.

O NSO Group ganhou notoriedade em 2016, quando especialistas o acusaram de ajudar a espionar um ativista nos Emirados Árabes Unidos.

Seu produto mais conhecido é o Pegasus, um programa muito invasivo que pode ativar remotamente a câmera e o microfone de um determinado telefone e acessar seus dados.

A empresa assegurou nesta terça-feira que só vende este programa para os governos “combaterem o crime e o terrorismo”.

O NSO Group “não opera o sistema e, após um rigoroso processo de estudo e autorização, as agências de segurança e inteligência determinam como usar a tecnologia em suas missões de segurança pública”, disse em um comunicado enviado à AFP.

“Nós investigamos qualquer denúncia crível de uso indevido e, se necessário, tomamos medidas, incluindo a desativação do sistema”, concluiu.

A ONG Anistia Internacional afirmou que iria se juntar a uma ação legal iniciada por cerca de 30 ativistas em Israel para revogar a licença de exportação do NSO Group.

“O NSO Group vende seus produtos para governos conhecidos por seus intoleráveis abusos aos direitos humanos, dando-lhes as ferramentas para rastrear ativistas e críticos”, disse Danna Ingleton, vice-presidente da área de tecnologia da Anistia.