Ernstig lek in desktopversie WhatsApp gaf aanvallers toegang tot privégegevens
Een ernstige kwetsbaarheid in de Windows- en Mac-versie van WhatsApp stelde aanvallers enige tijd in staat om toegang te krijgen tot de data van gebruikers. In de nieuwste versie van het programma zou het lek gedicht moeten zijn.
Via de desktopversie van WhatsApp kunnen gebruikers de populaire chattoepassing gebruiken via hun Windows-pc of Mac. Dat typt een stuk makkelijker dan via het aanraakscherm van een smartphone, maar blijkt dus niet helemaal zonder gevaar. Door een lek konden kwaadwilligen middels een speciaal geprepareerd bericht toegang krijgen tot persoonlijke gegevens.
Het lek werd ontdekt door Gal Weizman van PerimeterX, die in een blogpost zijn bevindingen beschrijft. De problemen hadden te maken met de voorvertoning die WhatsApp automatisch van een webpagina genereert, wanneer de gebruiker een URL verstuurt. Zo bleek JavaScript-code die in een banner verstopt is bepaalde beveiligingsmechanismen te omzeilen, wat de deur opende naar lokale data van de gebruiker.
Volgens Weizman ligt een kwetsbaarheid in de Electron-versie van Chromium aan de basis van het beveiligingslek. WhatsApp gebruikt dit raamwerk voor de gebruikersinterface van zijn desktopuitvoeringen. In Chromium zelf was het lek al eerder gedicht, maar WhatsApp maakte daarna nog een tijdlang gebruik van een verouderde Electron-versie.
In versie 0.3.930 van de Windows- en Mac-client zou de kwetsbaarheid verholpen moeten zijn.
In samenwerking met Dutch IT Channel
Fout opgemerkt of meer nieuws? Meld het hier