Er is een schokkende kwetsbaarheid ontdekt in chat-applicatie WhatsApp. Onderzoekers zijn gestuit op een lek die het mogelijk maakt om iemand anders zijn of haar WhatsApp-account te verwijderen, met alle gevolgen van dien.
WhatsApp-account kan verwijderd worden
Verschillende beveiligingsonderzoekers hebben een nieuw lek ontdekt in WhatsApp die op relatief eenvoudige wijze misbruikt kan worden. Hetgeen dat de kwaadwillende hiervoor nodig heeft, is het telefoonnummer van de andere persoon.
Het werkt heel simpel, zo omschrijven de collega’s van Android Police. De kwaadwillende installeert WhatsApp op zijn of haar toestel. Vervolgens wordt jouw nummer ingevoerd om de dienst te activeren. Omdat het tweefactor-authenticatiesysteem een koppeling zoekt, bijvoorbeeld via een (stille) sms, lukt het niet voor de kwaadwillende om het account met jouw nummer te activeren. Na meerdere herhaalde en mislukte pogingen, wordt de login voor een periode van 12 uur vergrendeld.
De ellende
Dan begint de ellende. De kwaadwillende stuurt een ondersteuningsbericht naar WhatsApp, vanaf zijn e-mailadres. In het bericht wordt beweerd dat zijn (jouw) telefoon verloren of gestolen is. Het account dat aan jou nummer gekoppeld is, moet volgens de kwaadwillende gedeactiveerd worden. Met een reactie op de mail wordt dit door WhatsApp geverifieerd en schort het account op zonder kans op tegengeluid.
Het lek lijkt vooralsnog geen toegang te geven tot je berichten en dergelijke, maar wel de toegang tot WhatsApp te ontzeggen. Het is niet bekend of dit lek op grote schaal misbruikt wordt. WhatsApp reageerde ontwijkend op de vraag of dit lek aangepakt wordt. Het zou relatief eenvoudig op te lossen moeten zijn door bij de tweefactors-authenticatie ook een e-mailadres op te geven, als eigenaar zijnde. Volgens Facebook, het moederbedrijf van WhatsApp, is het gebruik maken van deze methode hierboven in strijd met de servicevoorwaarden. Veel afschrikken zal dit niet; het misbruiken van het lek kan namelijk anoniem; met een willekeurige telefoon en een wegwerp-mailadres.
Facebook kennende zal het niet direct morgen opgelost worden. Het bedrijf gaat nog altijd relatief laks om met de privacy en beveiliging. Zo kwam ook naar voren in het enorme datalek bij Facebook, waarbij het bedrijf aangeeft dat de ophef overdreven is, geen excuses aanbiedt en het niet serieus lijkt te nemen. Het kijken naar een alternatief kan wat ons betreft echt geen kwaad. Denk bijvoorbeeld aan Telegram of Signal.
Via Forbes, Android Police
