Оказывается, хакнуть смартфон без всякого участия пользователя можно не только через загрузку файла в общие чаты (об этом я рассказывал здесь), но также простым звонком в мессенджере.
Недавно Meta, которой принадлежит WhatsApp, поделилась деталями поражения более чем 100 абонентов этого мессенджера в результате применения против них супер-элитного комплекса Pegasus, разработанного израильской компанией NGO Group. Произошло это в 2019 году, закрыли уязвимость в 2020-м и сейчас она уже не работает. Хотя не для всех, но об этом позже.
Сейчас расскажу как такое стало возможным, до сих пор актуальна угроза и что делать.
Итак, как происходила эта атака в 2019 на некоторых пользователей в WhatsApp.
NGO Group брала доступный код WhatsApp, разбирала его на молекулы (extracting, decompiling and reverse-engineering WhatsApp's code), создавали свои «инсталляционные серверы WhatsApp» (WIS) и отправляли через них специально сформированные вредоносные запросы (malformed messages) на настоящие серверы WhatsApp от имени якобы легитимного пользователя. И таким образом устанавливали своего шпионского агента. Там еще много технических подробностей: о сигнальных серверах, аутентификации и CVE-2019-3568, но это больше для технических специалистов (гуглить zero-click incoming call WhatsApp Pegasus).
Конечно, 99,99% пользователей мессенджеров вряд ли станут жертвами Пегасов или других Графитов - преимущественно из-за астрономически высокой стоимости таких хакерских инструментов. Цена заражения одного абонента - от нескольких десятков до нескольких сотен тысяч долларов, поэтому абсолютному большинству это не грозит. 
Но расслаблять булочки пока рано. Потому что угрозы могут оставаться актуальными еще много лет, даже после обнаружения. Объясню на примере.
Жизненный цикл любого элитного вредоносного софта (malware) примерно такой: сначала о нем никто не знает кроме разработчика и он продается состоятельным (преимущественно государственным) клиентам за многие миллионы долларов. Клиенты его применяют против своих врагов (жертв) и со временем эта малварь «палится» (детектируется) и поэтому ее статус понижается с топового «0-day» (уязвимость нулевого дня) до уже поюзанного «1-day». Соответственно, с резким снижением цены.
То есть на этом этапе (1-day) об этой уязвимости знают не только лишь все (С), а узкий круг специалистов. Но довольно скоро статус еще больше резко снижается, об уязвимости узнает почти вся мировая кибербезопасность и ее описание вместе со способами защиты появляется примерно везде.
Разработанные средства защиты от такой уязвимости доставляются пользователям через «патчи» - обновления как самих приложений, так и операционных систем. 
И рядовому пользователю, чтобы защититься от ранее высокоуровневых, а теперь уже «мусорных» угроз, достаточно всего лишь скачать все обновления.
Но пока многие пользователи не делают даже такой простой операции. Не делают по разным причинам: от банального «а я не знал» до сознательного «не позволю меня подслушивать». 
Также бывают случаи, когда обновление ОС может привести к частичной или полной неработоспособности операционной системы смартфона, в основном временной. А то и к полному крашу системы. И для некоторых это является аргументом не обновляться. Могу сказать, что подобные случаи случаются раз в несколько лет, а нормальные обновления, которые устраняют старые уязвимости - примерно раз в месяц (плюс-минус). Поэтому учитывая всё это, мой совет таков: обновлять всё и всегда, но через день-два после выхода свежего патча, когда возможные проблемы обновления уже обнаружат и пофиксят.
Кстати, и о патчах, и о других правилах личной киберзащиты (в том числе о рекомендуемых мессенджерах), я медленно и подробно рассказываю на моем собственном онлайн-курсе.
Но чем меня заинтересовала именно эта история.
Детали этой атаки выяснились аж через 5 лет после ее проведения. А это значит, что возможности хакеров, актуальные сегодня - тоже раскроются через годы. И скорее всего, о большинстве из них неизвестно сегодня даже самим разработчикам мессенджеров.
А еще подобные техники могут по сей день успешно «работать» в менее продвинутых мессендежрах. А в почти никак не защищенных типа Телеграмм или Дискорд - там вообще страшно представить что творится.
Поэтому посоветовал бы не отвечать на звонки от незнакомцев в мессенджерах: легальный абонент может сначала написать сообщение, представиться и объяснить что хочет. Если что-то не так - можно просто заблокировать. 
Звонки из обычной сотовой сети вряд ли могут нести существенную угрозу - просто из-за устарелости технологии - но не советую перезванивать на пропущенные с незнакомых номеров. Кому очень надо - тот наберет еще раз.
Спам-звонки следует просто блокировать в телефоне.

Кароч, советов у меня много и их все не расскажешь в короткой статье. Поэтому я собрал все в отдельном курсе, линк дал выше. 
В конце скажу отдельно за WhatsApp: этот случай не означает, что этот мессенджер - несекьюри, скорее наоборот: обнаружил сложную атаку, подал в суд на NGO Group, предупредил пользователей об угрозе еще в 2019, и имеет сквозное шифрование по умолчанию. Далеко не самый плохой мессенджер.
А наиболее секьюрные мессенджеры, как по мне, следующие: это Signal, Threema, Wire, Session, SimpleX. Категорически не рекомендую Telegram. 
Попутно призываю всех учиться базовой кибербезопасности - и учить этому детей.

Константин Корсун - эксперт по кибербезопасномти

- Рыжий ковбой-придурок, а куда делась вся твоя бравада?
- Призрак войны в Европе: кто здесь бандит и полицейский
- Неожиданно! Какой конфузный сюрприз! Всех уже достали! Кое-какие "отъехавшие" страны начинают запрещать ислам!
- Появилась новая версия приложения Резерв+
- Красиво! Что же случилось на 51 арсенале ГРАУ МО РФ?
- Крах условного золотого стандарта американского доллара в формате 2.0.
- По переговорным процессам внесем ясность, по состоянию на сейчас