WhatsApp op desktop gaf hackers toegang tot bestanden

Via een intussen geüpdatete versie van WhatsApp voor desktop konden hackers zich toegang verlenen tot lokale bestanden. De bug is het gevolg van een slecht updatebeleid van Facebook.

Vergewis je ervan dat je de recentste versie van de Whatsapp-desktoptoepassing gebruikt, want een oudere versie is kwetsbaar voor misbruik door hackers. Onderzoekers van beveiligingsbedrijf PerimeterX ontdekten dat een aanvaller via een bericht met een speciale link toegang kan krijgen tot de lokale bestanden op een systeem. Om dat te doen, moet een aanvaller JavaScript-code verwerken in een link. Om dat previews van links (banners in WhatsApp-lingo) langs de kant van de afzender worden gegenereerd, heeft die de kans om de dingen te manipuleren. Het lek is enkel uit te buiten bij WhatsApp-gebruikers met een iPhone.

Electron

De aanval maakt gebruik van een kwetsbaarheid in Electron. Dat is een framework gebaseerd op Chromium waarmee ontwikkelaars dezelfde broncode kunnen gebruiken om zowel webapplicaties als desktopapplicaties te bouwen.  Electron is een afgeleide van Chromium en volgt hetzelfde updateschema. Facebook, het moederbedrijf van WhatsApp, had echter nagelaten om de desktop-applicatie een update naar de nieuwste versie van Electron gegeven, wat betekende dat er een gekende kwetsbaarheid bleef openstaan. Had Facebook de applicatie niet op een verouderd raamwerk laten draaien, dan was er nooit een probleem geweest.

Intussen heeft de sociale netwerkgigant het probleem wel verholpen. Is de app up to date op je systeem, dan is er geen probleem meer. De kwetsbaarheid, CVE-2019-18426 voor wie van namen houdt, kreeg een rating van 8,2 mee wat impliceert dat ze als ernstig wordt bestempeld. Logisch, aangezien WhatsApp immens populair is en menig werknemer een versie van de webapp draait. Op die manier kon de bug een vector zijn voor aanvallers die bij een bedrijf wilden binnenraken.

Het is niet de eerste keer dat beveiligingsspecialisten een kwetsbaarheid in WhatsApp ontdekken. Vorig jaar bleek nog dat aanvallers gesprekken deels konden overnemen, zoals we hier uit de doeken deden: WhatsApp-kwetsbaarheden laten hackers gesprekken overnemen