EEN ONDERZOEK heeft een ernstige kwetsbaarheid in WhatsApp aan het licht gebracht die 3,5 miljard accounts zou kunnen blootleggen.
Cybersecurity-experts hebben gebruikers gewaarschuwd voor een simpele fout waardoor ze hun ‘metadata’ konden verzamelen.
Onderzoekers konden via deze zwakte toegang krijgen tot persoonlijke informatie, waaronder telefoonnummers, locatie, apparaattype en accountleeftijd.
De Universiteit van Wenen en SBA Research voerden een gezamenlijk onderzoek uit met Half waar ze testten WhatsAppHet ingebouwde contactdetectiemechanisme van.
Met dit mechanisme heb je toegang tot de contactenlijst van een gebruiker en kun je op basis van hun telefoonnummers naar andere WhatsApp-gebruikers zoeken.
De onderzoekers ontdekten dat ze onbeperkte toegang hadden tot de contactenlijst, waardoor ze elk uur door 100 miljoen telefoonnummers konden bladeren.
Deskundigen merkten op dat het systeem niet zou reageren op een groot aantal verzoeken van dezelfde bron als er geen fout was.
Dankzij end-to-end-encryptie bleef de inhoud van de berichten van gebruikers echter verborgen.
Hoofdauteur Gabriel Gegenhuber, onderzoeker aan de Universiteit van Wenen, vertelde de DailyMail: “Normaal gesproken zou een systeem niet in zo’n korte tijd op zo’n groot aantal verzoeken moeten reageren, vooral niet als ze uit één bron komen.
“Dit gedrag legde de onderliggende fout bloot, waardoor we effectief onbeperkte verzoeken naar de server konden sturen en daarmee gebruikersgegevens over de hele wereld in kaart konden brengen.”
De onderzoekers zeggen dat hun onderzoek de gevaren benadrukt van het “centraliseren” van mondiale berichtenuitwisseling naar een beperkt aantal mensen app.
Aanvankelijk hadden onderzoekers toegang tot openbare gegevens die beperkt waren tot wat iedereen met het telefoonnummer van een gebruiker kon bekijken.
Maar nadat ze meer gegevens hadden verzameld, konden ze het besturingssysteem van een gebruiker, de leeftijd van het account en het aantal aangesloten apparaten identificeren.
In sommige landen, zoals de Verenigde Staten, BraziliëEN Mexicoer was voldoende informatie om de locatie van een gebruiker tot aan de status te bepalen.
Een gebruiker kan de doel van oplichtingsoproepen of andere aanvallen als gevolg daarvan.
Co-auteur dr. Aljosha Judmayer zei: “End-to-end-encryptie beschermt de inhoud van berichten, maar niet noodzakelijkerwijs de bijbehorende metadata.
“Ons werk laat zien dat privacyrisico’s kunnen ontstaan, zelfs als dergelijke metadata op grote schaal worden verzameld en geanalyseerd.”
Onderzoekers hebben bijvoorbeeld ontdekt dat er miljoenen actieve WhatsApp-accounts zijn in landen waar de app verboden is.
Deze omvatten Myanmar, Chinaen Iran, die allemaal een strak gereguleerde toegang tot internationale internetdiensten hebben.
Meta verzekerde dat de kwetsbaarheden zijn opgelost en dat de technologiegigant ‘het probleem heeft aangepakt en verzacht’.
Nitin Gupta, Vice President Engineering bij WhatsApp, zei: “We zijn onderzoekers van de Universiteit van Wenen dankbaar voor hun verantwoorde samenwerking en toewijding in ons Bug Bounty-programma.
“Deze samenwerking heeft met succes een nieuwe opsommingstechniek geïdentificeerd die de beoogde beperkingen overschreed, waardoor onderzoekers publiekelijk beschikbare basisinformatie konden verzamelen.
“We hadden eerder gewerkt aan toonaangevende anti-schraapsystemen en deze studie speelde een belangrijke rol bij stresstests en bevestigde de onmiddellijke effectiviteit van deze nieuwe verdedigingsmechanismen.
“Belangrijk is dat de onderzoekers de gegevens die als onderdeel van het onderzoek zijn verzameld, veilig hebben verwijderd, en we hebben geen bewijs gevonden dat kwaadwillende actoren deze vector misbruiken.”
Onderzoekers ontdekten echter dat de helft van de 500 miljoen telefoonnummers openbaar werd gemaakt Facebook hacks waren in 2021 nog steeds in gebruik op WhatsApp.
Tijdens het incident werden de volledige namen, telefoonnummers, adressen en geboortedata van de gebruikers van het platform van 2018 tot 2019 gelekt en geüpload naar een hackerforum.
Facebook’s moederbedrijf Meta heeft een boete van £233 miljoen gekregen van de Ierse Data Privacy Commission wegens het overtreden van de regels voor gegevensprivacy.
Volgens deskundigen wordt iedereen die een nummer gebruikt dat eerder in dit lek is onthuld, geconfronteerd met aanhoudende en toenemende cyberveiligheidsrisico’s.
The Sun heeft Meta om commentaar gevraagd.
