Alvarlegur öryggisveikleiki í Whatsapp

Persónuvernd hefur borist tilkynning frá persónuverndarstofnun Írlands um alvarlegan öryggisveikleika í WhatsApp-samskiptaforritinu. Greint er frá þessu á vef Persónuverndar en einnig er fjallað um málið ítarlega á vef Guardian.

Á vef Persónuverndar segir að öryggisveikleikinn gat gert utanaðkomandi aðilum kleift að setja inn ósamþykktan hugbúnað og fá aðgang að persónulegum gögnum þeirra sem hafa sett upp WhatsApp-forritið í snjallsímanum sínum.

Í frétt Guardian er rætt við lögfræðing sem lenti í því að njósnabúnaði var komið fyrir í símanum hans en hugbúnaðurinn átti að nýta sér veikleika Whatsapp.

Lögfræðingurinn, sem ekki er nefndur á nafn í grein Guardian, segir að svo virðist sem þeir sem hökkuðu sig inn í símann hans hafi ætlað sér að komast yfir upplýsingar um mál sem hann hefur unnið að í tengslum við mannréttindi.

Veldur honum uppnámi en kemur ekki á óvart

Lögfræðingurinn vinnur nú að máli sem höfðað hefur verið gegn ísraelska öryggisfyrirtækinu NSO Group en talið er að fyrirtækið hafi notað háþróað spilliforrit sitt gegn mexíkóskum blaðamönnum.

Þá á fyrirtækið einnig að hafa notað hugbúnaðinn gegn þekktum andstæðingi stjórnvalda í Sádi-Arabíu en sá maður býr í Kanada.

Greint hefur verið frá því að hakkarinn hafi síðustu vikur endurtekið reynt að hlaða upp spilliforritinu á síma lögfræðingsins.

Í samtali við Guardian segir lögfræðingurinn að hann viti ekki hver það er sem hafi reynt að brjótast inn í símann hans.

„Þetta veldur mér uppnámi en þetta kemur í sjálfu sér ekki á óvart. Einhver hlýtur að vera mjög örvæntingarfullur fyrst hann beinir spjótum sínum að lögfræðingi og að nota þessa tækni sem málið mitt snýst einmitt um,“ segir lögfræðingurinn.

Segjast ekki nota eigin tækni til þess að beita sér gegn einstaklingum eða samtökum

Í yfirlýsingu frá NSO Group segir fyrirtækið að tæknin sem það notist við sé samþykkt og viðurkennd af stjórnvöldum víða um heim í þeim eina tilgangi að berjast gegn hryðjuverkastarfsemi.

„Fyrirtækið notar ekki þetta kerfi. Eftir langt og strangt leyfisferli ákveða leyniþjónustur og lögregla hvernig nota skuli tæknina til þess að tryggja öryggi almennings í þeim verkefnum sem þau vinna að. […] NSO myndi ekki og gæti ekki notað eigin tækni til þess að beina spjótum sínum að tilteknum einstaklingi eða samtökum, þar á meðal þessum einstaklingi,“ segir í yfirlýsingunni.

Á vef Persónuverndar kemur fram að WhatsApp hafi ekki enn sent inn formlega tilkynningu um öryggisbrest samkvæmt 33. Grein persónuverndarreglugerðarinnar.

Mun það vera vegna þess að rannsókn stendur enn yfir á því hvort einhver gögn WhatsApp-notenda á evrópska efnahagssvæðinu hafi komist í hendurnar á óviðkomandi aðilum.

„Möguleiki er á að lekinn hafi náð til notenda á Evrópska efnahagssvæðinu og í ljósi þess hversu alvarlegur veikleikinn er eru notendur forritsins hvattir til þess að sækja nýjustu uppfærslur þess frá Apple Store eða Google Play Store.

WhatsApp vinnur að greiningu málsins ásamt hlutaðeigandi persónuverndarstofnunum,“ segir á vef Persónuverndar.