WhatsApp varnade på tisdagen användare att uppgradera applikationen för att täppa till ett säkerhetshål som möjliggjorde injicering av sofistikerad skadlig programvara som kunde användas för att spionera på journalister, aktivister och andra.

Facebook-ägda WhatsApp sa att det släppte en uppdatering för att fixa sårbarheten i meddelandeappen, används av 1,5 miljarder människor runt om i världen.

"WhatsApp uppmuntrar människor att uppgradera till den senaste versionen av vår app, samt hålla deras mobila operativsystem uppdaterat, för att skydda mot potentiella riktade utnyttjande som utformats för att äventyra information som lagras på mobila enheter, ", står det i ett uttalande från företaget.

WhatsApp-spionprogrammet är sofistikerat och "skulle vara tillgängligt endast för avancerade och mycket motiverade skådespelare, " sa företaget, och tillägger att ett "utvalt antal användare riktades mot."

"Denna attack har alla kännetecken för ett privat företag som arbetar med ett antal regeringar runt om i världen" enligt inledande undersökningar, det tillade, men namngav inte företaget.

Spionprogrammet verkar vara relaterat till Pegasus-mjukvaran som utvecklats av den israelisk-baserade NSO-gruppen, som normalt säljs till brottsbekämpande och underrättelsetjänster, enligt Washington-baserade analytikern Joseph Hall.

Spionprogrammet "kunde ha hamnat i någons händer" utanför legitima kanaler för skändliga syften, Hall, chefsteknolog vid Centrum för demokrati och teknik, sa till AFP.

– Det är oklart vem som gör det här.

Säkerhetsforskare har funnit att Android- och Apple-telefoner kan infekteras med spionprogram med ett enkelt ljudsamtal via WhatsApp, även om användaren inte svarar, enligt Hall, gör upptäckten svårare.

Stora risker

Hall sa att den oparpade säkerhetsbristen öppnar dörren för att spionera av oseriösa enheter på människorättsaktivister, journalister och andra.

"Den potentiella faran är ganska stor, " han sa.

"Den här typen av appar som gör krypterade meddelanden och krypterade telefonsamtal tenderar att lagra den mest hemliga data som människor behöver skydda."

Han sa att dissidenter och prodemokratiska aktivister som vill förbli anonyma förlitar sig på dessa krypterade applikationer, liksom journalister när de pratar med källor om känslig information.

Facebook kommenterade inte antalet berörda användare eller vilka som riktade sig mot dem, och sa att de hade rapporterat ärendet till amerikanska myndigheter.

Den informerade också EU:s myndigheter i Irland om den "allvarliga säkerhetsriskerna, " enligt ett uttalande från landets dataskyddskommission (DPC).

Avslöjandet är det senaste i en rad problem som bekymrar WhatsApps förälder Facebook, som har mött intensiv kritik för att tillåta användarnas data att skördas av forskningsföretag och för dess långsamma reaktion på att Ryssland använder plattformen som ett sätt att sprida desinformation under den amerikanska valkampanjen 2016.

Mycket invasiv programvara

WhatsApp sa att de har informerat människorättsorganisationer om frågan, men identifierade dem inte.

NSO-gruppen blev framträdande 2016 när forskare anklagade den för att ha hjälpt till att spionera på en aktivist i Förenade Arabemiraten.

Dess mest kända produkt är Pegasus, ett mycket invasivt verktyg som enligt uppgift kan slå på ett måls telefonkamera och mikrofon, och få tillgång till data på den.

Företaget sa på tisdagen att det endast licensierar sin programvara till regeringar för att "bekämpa brott och terror".

NSO-gruppen "driver inte systemet, och efter en rigorös licens- och kontrollprocess, underrättelsetjänst och brottsbekämpande myndigheter bestämmer hur tekniken ska användas för att stödja sina offentliga säkerhetsuppdrag, ", heter det i ett uttalande till AFP.

"Vi undersöker alla trovärdiga anklagelser om missbruk och om nödvändigt, vi vidtar åtgärder, inklusive att stänga av systemet."

Forskare vid University of Torontos Citizen Lab har hävdat att trots NSO:s uttalande, Pegasus spionprogram missbrukas av många regeringar.

"Pegasus verkar användas av flera länder med tvivelaktiga människorättsregister och historia av kränkande beteende från statliga säkerhetstjänster, " sa forskarna i en rapport förra året,

Amnesty International sa under tiden att de skulle gå med i en rättslig åtgärd denna vecka i Israel av ett 30-tal aktivister för att återkalla NSO:s exportlicens, hävdar att en av dess egna anställda var måltavla för en "särskilt invasiv" variant av programvaran i juni 2018 via WhatsApp.

"NSO Group säljer sina produkter till regeringar som är kända för upprörande kränkningar av mänskliga rättigheter, ge dem verktygen att spåra aktivister och kritiker, " sa Danna Ingleton, biträdande direktör för Amnesty Tech.

"Så länge produkter som Pegasus marknadsförs utan ordentlig kontroll och tillsyn, rättigheterna och säkerheten för Amnesty Internationals personal och andra aktivisters, journalists and dissidents around the world is at risk."

© 2019 AFP