WhatsApp-lek maakt downloaden van media zonder interactie mogelijk

In dit artikel:

Een Google-onderzoeker van Project Zero (Brendon Tiszka) ontdekte een kwetsbaarheid in WhatsApp voor Android waardoor media naar een toestel kan worden gedownload zonder daadwerkelijke interactie van de gebruiker. Het probleem werd op 2 september vorig jaar aan Meta gemeld; op 11 november voerde Meta een serverwijziging door die het probleem deels oplost. Google publiceerde de technische details toen Meta niet binnen de gestelde deadline met een volledige patch kwam.

Normaal voorkomt WhatsApp automatische downloads van niet-contacten, maar gedownloade bestanden verschijnen direct in de Android MediaStore-database, waarmee het aanvalsoppervlak toeneemt. Een misbruiksroute vereist dat een aanvaller een groep aanmaakt, het slachtoffer en een contact van dat slachtoffer toevoegt, dat contact tot groepsbeheerder maakt en vervolgens een kwaadaardige afbeelding stuurt die automatisch wordt gedownload. Hoewel de aanvaller een contact van het slachtoffer moet kennen (of raden), is dat vaak haalbaar bij gerichte aanvallen. Het uitschakelen van automatische downloads of het inschakelen van WhatsApp’s Advanced Privacy Mode voorkomt dit gedrag. Er is nog geen CVE-nummer toegekend.