NSO Group gebruikte een onbekende WhatsApp-exploit voor het infecteren van gebruikers met spyware nadat het door WhatsApp was aangeklaagd vanwege een andere actief gebruikte kwetsbaarheid. Dat blijkt uit gerechtelijke documenten, zo meldt spyware-onderzoeker John Scott-Railton van Citizen Lab (pdf). WhatsApp besloot NSO Group aan te klagen nadat veertienhonderd WhatsApp-gebruikers met de Pegas-spyware van het bedrijf besmet waren geraakt.
Het ging onder andere om journalisten, mensenrechtenactivisten en overheidsfunctionarissen. Pegasus is spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.
Volgens de gerechtelijke documenten beschikte NSO Group over zeker drie verschillende exploits, 'Heaven', 'Eden' en 'Erised', om WhatsApp-gebruikers met Pegasus te infecteren. Heaven was een aangepaste client-applicatie genaamd WhatsApp Installation Server. Deze server kon zich voordoen als de officiële client om toegang tot de servers van WhatsApp te krijgen en berichten te versturen, waaronder gespreksinstellingen. Heaven werd in 2018 getest en kort daarna aan klanten aangeboden, aldus de documenten. Via Heaven was het mogelijk om de WhatsApp-servers zover te krijgen dat die doelwit telefoons naar een third-party relay server van NSO Group wezen. In september en december 2018 kwam WhatsApp met updates voor Heaven.
In februari 2019 ontwikkelde NSO Group de Eden-exploit, waarmee veertienhonderd WhatsApp-gebruikers zonder enige interactie met Pegasus werden besmet. WhatsApp ontdekte dit in mei 2019 en blokkeerde de exploit. In oktober 2019 werd NSO Group door WhatsApp aangeklaagd. Het bedrijf had na de ontdekking van de Eden-exploit een nieuwe exploit ontwikkeld genaamd Erised, en bleef die tot zeker mei 2020 aan klanten aanbieden, zelfs na de aanklacht door WhatsApp.
Erised gebruikte ook WhatsApp-servers om de Pegasus-spyware te installeren. Exacte details zijn verder niet gegeven. De exploit werd uiteindelijk door WhatsApp ontdekt. Volgens NSO waren de gebruikte exploits succesvol en kon daardoor Pegasus op tussen de "honderden en tienduizenden" toestellen worden geïnstalleerd. Of het bedrijf ook over ander exploits beschikt of beschikte laat het niet weten. De Volkskrant meldde in 2022 dat de AIVD ook gebruik had gemaakt van de Pegasus-spyware.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.