Beveiligingsonderzoekers hebben een nieuwe WhatsApp-kwetsbaarheid gevonden waarmee aanvallers u eenvoudig de toegang tot uw account kunnen ontzeggen.
Beveiligingsonderzoekers hebben een nieuwe kwetsbaarheid in WhatsApp gevonden die mogelijk meer gebruikers daartoe aanzet stoppen met de berichtendienst van Facebook. Kwaadwillige actoren kunnen deze kwetsbaarheid gemakkelijk misbruiken om je voor onbepaalde tijd uit te sluiten van je WhatsApp-account, waardoor het meer is dan slechts een klein ongemak voor de meer dan 2 miljard gebruikers van de messenger. Maar dat is nog niet het ergste.
Volgens onderzoekers Luis Márquez Carpintero en Ernesto Canales Pereña (via Forbes), hebben aanvallers geen speciale software of training nodig om dit beveiligingslek te misbruiken. Ze hebben alleen toegang tot uw telefoonnummer nodig. Zodra ze dat hebben, kunnen ze je zonder veel moeite uitsluiten van je WhatsApp-account. En hier is hoe het werkt.
WhatsApp vereist tweefactorauthenticatie wanneer je inlogt op een nieuw apparaat. Hiervoor stuurt de dienst ter verificatie een zescijferige code naar uw telefoonnummer. Als je meerdere keren de verkeerde code invoert, schort WhatsApp je account automatisch gedurende 12 uur op.
Aanvallers kunnen dit tweefactorauthenticatiesysteem misbruiken door WhatsApp op een nieuw apparaat te installeren, uw telefoonnummer in te voeren en herhaaldelijk de verkeerde code in te voeren. Hoewel dit ervoor zorgt dat je de komende 12 uur niet op een nieuw apparaat kunt inloggen, heeft dit geen invloed op je huidige WhatsApp-installatie. Het blijft werken zoals bedoeld.
Om te voorkomen dat je voor onbepaalde tijd inlogt op een nieuw apparaat, hoeft een aanvaller bovengenoemde stappen slechts driemaal te herhalen. Bij de derde cyclus van 12 uur zal de opschortingstimer van de app afbreken en in plaats daarvan een timer van "-1 seconden" weergeven. Zodra die bug verschijnt, kun je met WhatsApp helemaal niet meer inloggen op een nieuw apparaat. Uw huidige installatie blijft echter werken. Maar daar houdt de exploit niet op, want deze kan worden voortgezet om de impact ervan drastisch te vergroten.
De laatste zet van de aanvaller vernietigt ook je huidige installatie en je wordt permanent buitengesloten van je account. Hiervoor hoeft de aanvaller WhatsApp alleen maar een e-mail te sturen met het verzoek om je telefoonnummer te deactiveren. WhatsApp kan een automatisch antwoord sturen waarin de aanvaller wordt gevraagd het nummer te bevestigen. Zodra zij dit bevestigen, deactiveert WhatsApp uw account automatisch zonder uw medeweten.
Je huidige WhatsApp-installatie stopt dan plotseling met werken en je ziet de volgende melding: "Je telefoonnummer is niet langer geregistreerd bij WhatsApp op deze telefoon. Dit kan zijn omdat u het op een andere telefoon heeft geregistreerd. Als u dit niet heeft gedaan, verifieert u uw telefoonnummer om weer in te loggen op uw account." Wanneer u nu uw telefoonnummer probeert te verifiëren, ziet u de opschortingstimer van "-1 seconden" en kunt u helemaal niet inloggen.
Omdat er geen verfijning in deze aanval zit, kan iedereen met toegang tot je telefoonnummer je binnen enkele dagen gemakkelijk buitensluiten van je WhatsApp-account. Daarom moet WhatsApp dit flagrante probleem onmiddellijk aanpakken.
De boodschapper is al op de hoogte gebracht van het probleem. In reactie op de onthulling laat een WhatsApp-woordvoerder weten Forbes Dat "Door een e-mailadres op te geven bij uw tweestapsverificatie, kan ons klantenserviceteam mensen helpen als ze ooit dit onwaarschijnlijke probleem tegenkomen." Het feit dat WhatsApp dit als een "onwaarschijnlijk" probleem beschouwt, zou voor veel gebruikers reden genoeg moeten zijn om van de dienst af te stappen. Bovendien voegde de woordvoerder eraan toe dat degenen die de exploit proberen, de servicevoorwaarden van WhatsApp zouden schenden. Alsof dat alle hackers zal afschrikken en grappenmakers ervan zal weerhouden de exploit op een nietsvermoedende gebruiker uit te proberen.
We dringen er bij onze lezers op aan om deze kwetsbaarheid niet te misbruiken, niet omdat het schenden van de servicevoorwaarden van WhatsApp je in de gevangenis zal doen belanden, maar omdat het nogal waardeloos is om te doen. Als u er eindelijk klaar voor bent om over te stappen naar een andere service, bekijk dan ook onze uitgebreide gids over WhatsApp-alternatieven waarin alle voor- en nadelen van het overstappen naar een ander platform worden benadrukt.