Er is een beveiligingslek ontdekt in WhatsApp: aanvallers verwijderen andere accounts met slechts één e-mail
Deze kwetsbaarheid is ontdekt in WhatsApp. Hierdoor konden gebruikers de accounts van andere gebruikers via e-mail verwijderen.
WhatsApp is ongetwijfeld een van de meest populaire messaging-oplossingen ter wereld, niet in de laatste plaats vanwege de volledige end-to-end encryptie (E2EE). Maar E2EE alleen is niet voldoende om de veiligheid van gebruikersaccounts te waarborgen. Naarmate services blijven evolueren en beveiligingskwetsbaarheden afnemen, werd onlangs een bijzonder verontrustende kwetsbaarheid in WhatsApp onthuld: iedereen kan het account van een gebruiker op afstand uitschakelen zonder hun toestemming. (via: Android-politie)
Meestal biedt WhatsApp de mogelijkheid om je account op afstand te deactiveren voor het geval je hoofdtelefoon wordt gestolen en je geen toegang hebt tot de app. Volgens de ondersteuningsdocumentatie van WhatsApp is een e-mail met de titel “Lost/Stolen: Please deactivate my account” en het volledige internationale telefoonnummer voldoende om deactivering aan te vragen. In een ideale wereld zou dit systeem werken voor een bedrijf met een paar gebruikersaccounts, maar niet voor WhatsApp met zijn miljarden gebruikers.
WhatsApp: Het telefoonnummer was voldoende om het account van iemand anders te verwijderen
Foto: Getty Images
Het deactivatieproces van WhatsApp is volledig geautomatiseerd en controleert niet of de e-mailafzender echt de eigenaar is van het account dat moet worden gedeactiveerd. In een dergelijk scenario is het gemakkelijk voor te stellen dat iemand die uw telefoonnummer kent, een tijdelijk e-mailadres aanmaakt en verzoekt om uw account te deactiveren zonder dat u het weet.
Beroepscriminelen kunnen nog een stap verder gaan en dit systeem op grote schaal misbruiken, waarbij ze geautomatiseerde scripts gebruiken om WhatsApp-accounts willekeurig uit te schakelen. Door herhaalde denial-of-service (DOS)-aanvallen kunnen ze onschuldige slachtoffers dwingen te betalen om toegang te krijgen tot hun rekeningen. Bovendien kunnen ze contactgegevens stelen om meer mensen te targeten of gesprekken verwijderen die niet kunnen worden hersteld zonder een recente WhatsApp-back-up.
META reageert en schakelt onmiddellijke accountverwijdering uit
Gelukkig heeft Meta deze kwetsbaarheid ingezien – wellicht ook door het grote aantal deactiveringsverzoeken. De onmiddellijke deactivering van het account wordt tijdelijk opgeschort. Volgens de ondersteuningsdocumenten kunt u, als u het slachtoffer bent van een dergelijke aanval, uw gedeactiveerde account en alle ongelezen berichten binnen 30 dagen herstellen.
De snelle reactie van WhatsApp is prijzenswaardig, maar de nu stopgezette functie lijkt een standaardapp te zijn sinds de begindagen van de app. In een tweet suggereerde cyberbeveiligingsadviseur Jake Moore dat WhatsApp het systeem opnieuw zou moeten inschakelen, maar alleen opt-outverzoeken zou moeten accepteren van e-mails die zijn gekoppeld aan daadwerkelijke WhatsApp-accounthouders. Bovendien zou tweefactorauthenticatie verplicht moeten zijn voor alle WhatsApp-accounts, in plaats van optioneel te zijn zoals het nu is.
Andere lezers zijn ook geïnteresseerd in: