Facebook-ägda WhatsApps avslöjande av ett säkerhetsbrist som tillåter hackare att injicera spionprogram på smartphones väckte nya farhågor om säkerheten för det mobila ekosystemet.

Här är fem nyckelfrågor och svar:

Vad hände med WhatsApp?

Säkerhetshålet i WhatsApp-meddelandeappen kan göra det möjligt för en angripare att injicera skadlig programvara för att få tillgång till Android- eller Apple-smarttelefoner.

WhatsApp åtgärdade felet denna vecka efter att ha informerats om att spionprogrammet användes för att spåra människorättsaktivister och advokater.

Säkerhetsforskare tror att angriparna använde det kraftfulla Pegasus-spionprogrammet från Israel-baserade NSO Group. Enligt en färsk analys av programvaran av säkerhetsföretaget Lookout, Pegasus kan "subvertera" enhetens säkerhet och "stjäla offrets kontaktlista och GPS-plats, såväl som personliga, Wi-Fi, och routerlösenord lagrade på enheten."

Infektionen kan slå rot med ett enkelt samtal via WhatsApp. För att göra saken värre, offren kanske inte vet att deras telefoner var infekterade eftersom skadlig programvara tillät angripare att radera samtalshistorik.

Denna leverans var "särskilt skrämmande, " sa säkerhetsforskaren John Dickson från Denim Group, eftersom det infekterade enheter utan någon användaråtgärd.

"Normalt måste en användare klicka på något eller gå till en webbplats, men så var det inte här, " sa Dickson. "Och när (angriparen) är inne, de äger enheten, de kan göra vad som helst."

Vem ska man skylla på?

Medan felet upptäcktes i WhatsApp, säkerhetsexperter säger att vilken applikation som helst kunde ha varit ett "fordon" för spionprogramvaran.

"Vi har ännu inte kunnat skriva programvara som inte har buggar eller brister, sade Joseph Hall, chefsteknolog för Centrum för demokrati &teknik, en grupp för digitala rättigheter.

Hall sa att krypteringen i WhatsApp inte var trasig och att "Facebooks svar var oerhört snabbt."

Marc Lueck från säkerhetsföretaget Zscaler sa att baserat på Facebooks svar, "Du borde ge dem beröm för att de upptäckte det i första hand, det här var en mycket djup sårbarhet."

Intrånget på WhatsApp "var inte en attack mot kryptering, det var en attack mot en annan del av applikationen", sa Lueck.

Är kryptering fortfarande värt besväret?

Kryptering förblir en viktig funktion genom att etablera en säker "tunnel" mellan två parter som verifierar deras identiteter, Lueck noterade.

"Kryptering är inte viktigt bara för integriteten, det är viktigt för förtroendet, " han sa.

Kryptering som används av WhatsApp och andra meddelandeapplikationer förhindrar avlyssning av meddelanden och konversationer men skyddar inte mot en attack som får tillgång till själva enheten, konstaterar forskare.

"End-to-end-kryptering skyddar ingenting mot attacker på din slutpunkt, Sann. Och säkerhetsbälten och krockkuddar gör ingenting för att förhindra att din bil träffas av en meteorit, " twittrade Matt Blaze, en datorsäkerhetsexpert från Georgetown University.

"Även om ingen av dem skyddar mot alla möjliga skador, de förblir båda det mest effektiva försvaret mot mycket vanliga skador."

Dickson sa att även om ingen kryptering är idiotsäker, det enda sättet att helt undvika hacking skulle vara att undvika elektronik helt och hållet:"Du kan använda killar på hästryggen."

Ska jag oroa mig för att bli attackerad?

Citizen Lab, ett forskningscenter vid University of Toronto, sa i en rapport från 2018 att man hittade Pegasus spionprograminfektioner i 45 länder, med 36 "troliga statliga operatörer."

NSO vidhåller att de levererar sin programvara för legitima brottsbekämpande och underrättelseändamål. Men Toronto-forskarna sa att det hade erhållits av länder med "tveksamma" människorättsregister och föreslog att det kan ha använts av Saudiarabien för att spåra och döda oliktänkande journalisten Jamal Khashoggi.

Citizen Lab-forskare skrev i Globe &Mail att de "grävde fram minst 25 fall av kränkande inriktning av opinionsbildningsgrupper, advokater, vetenskapsmän och forskare, utredare av massförsvinnanden och mediamedlemmar."

Men Lueck sa att program som Pegasus är extremt dyra och inte lätt kan tjäna pengar av hackare i vinstsyfte.

"Din genomsnittliga person är inte målet för denna specifika mjukvara, som är byggd för att sälja till regeringar för att rikta in sig på individer och inte fungerar i stor skala, " han sa.

Fortfarande, Lueck sa att bristen understryker det faktum att "mobiltelefonens ekosystem har blivit en lika osäker och lika sårbar plattform som datorn."

Behöver regeringar bättre digitala verktyg?

Avslöjandena kommer när regeringar söker bättre verktyg för att spåra brottslingar och extremister som använder krypterade meddelanden. En australisk lag kräver att teknikjättar tar bort elektroniska skydd och hjälper till med åtkomst till enheter eller tjänster.

Brottsbekämpande myndigheter har klagat över att de "blir mörka" inför krypterad elektronisk kommunikation när de utreder allvarliga brott som terrorism och sexualbrott mot barn.

Men Hall sa att nyheterna om Pegasus visar att regeringar har verktyg för att utnyttja mjukvarubrister för specifik inriktning utan att försvaga kryptering och integritet för alla användare.

"Du kan rikta leveransen till specifika personer istället för att bryta sig in i allas telefoner på en gång, " han sa.

© 2019 AFP