Vorig jaar ontdekte WhatsApp een kwetsbaarheid in hun app die hackers toeliet om met een simpel telefoontje iemands account over te nemen. Nu blijkt dat er recent ook makkelijk Pegasus-spyware van de Israëlische NSO Group op geïnstalleerd kon worden en dat zelfs zonder dat de gebruiker een oproep moest aannemen. Dit gaf de aanvallers onder andere toegang tot de camera en microfoon.

Wie de boosdoeners juist zijn is niet geweten, maar verschillende vingers wijzen in de richting van het Midden Oosten, waar landen de software zouden kunnen gebruiken om kritiek op hun praktijken rond mensenrechten op te sporen. Zo werd er op 12 mei een telefoon van een Britse advocaat en mensenrechtenactivist (onsuccesvol) aangevallen. NSO verkoopt zijn software ook vooral aan intelligentiediensten in het Midden Oosten.

WhatsApp kwam ook tot gelijke conclusies en heeft de Amerikaanse justitie en diverse mensenrechtengroepen op de hoogte gebracht. NSO ontkent uiteraard dat het hier iets met te maken heeft. Het bedrijf zegt niet verantwoordelijk te zijn voor wat anderen met hun software doen.

De kwetsbaarheid werd in de laatste WhatsApp-patch van 13 mei opgelost.