Kwetsbaarheid in WhatsApp laat hackers bestanden meelezen

Er is een gevaarlijk beveiligingslek opgedoken in WhatsApp op de desktop. Daardoor kunnen kwaadwillenden bestanden lezen op elk apparaat.

Het lek is ontdekt door beveiligingsonderzoeker Gal Weizman van Perimeter X. Hij baseerde zich op onderzoek uit 2017, waarbij een aanvaller de tekst van een WhatsApp-bericht kon veranderen. Nu heeft Weizman nog meer beveiligingsproblemen ontdekt, waardoor het mogelijk is om cross-site scripting (XSS) uit te voeren. Ook is het mogelijk om het lokale bestandssysteem van een ontvanger te lezen, simpelweg door een bericht te sturen.


De kwetsbaarheden werken in de desktopversie van WhatsApp voor macOS en Windows, die meestal gekoppeld is met een mobiele app op de iPhone. Er bleken allerlei problemen te zijn, zo ontdekte Weizmen. Zo kun je een melding aanpassen die eruit ziet alsof je naar Facebook wordt gestuurd, maar in werkelijkheid kom je op een kwaadaardige website terecht. Met cross-site scripting bleek het mogelijk om meer informatie te achterhalen over de computer van het slachtoffer. Ook was het mogelijk om lokale bestanden te lezen.

WhatsApp voor de desktop met iPhone.

De end-to-end encryptie van WhatsApp biedt in dit geval geen bescherming, als blijkt dat het bericht zelf na het openen kwaadaardig is. Facebook was afgelopen dagen in het nieuws, omdat via WhatsApp de iPhone van Amazon CEO Jeff Bezos was gehackt. Het bericht zou gestuurd zijn door de Saoedische kroonprins. Facebook’s hoofd global affairs beweerde daarna dat de WhatsApp veilig is en niet gehackt kon worden. Maar dat blijkt nu niet helemaal waar.

De Electron-gebaseerde webapplicatie bleek bovendien een verouderde versie van Chromium 69 te gebruiken, dat kwetsbaarheden bevat. Daardoor kan op meerdere manieren kwaadaardige code op afstand uitgevoerd worden. WhatsApp had simpelweg een update van de Electron-webapp uit kunnen voeren om al deze problemen voorkomen, menen de onderzoekers. Electron wordt ook gebruikt door de desktop-apps Slack en Discard, maar het is nog onduidelijk of deze apps zijn getroffen.

Het hele relaas en alle technische details lees je hier.

WhatsApp

WhatsApp is de populaire berichtendienst, die bijna iedere Nederlander op zijn of haar smartphone heeft staan. Hier vind je alles over WhatsApp op een rijtje: van berichten verwijderen, gesprekken archiveren, je privacy goed instellen en op de desktop gebruiken tot de betekenis van de gekleurde vinkjes, groepsgesprekken voeren en een hele WhatsApp-community opzetten. Check ook de beste WhatsApp-tips.

WhatsApp

Reacties: 0 reacties

Reacties zijn gesloten voor dit artikel.