© PXimport
WhatsApp-lek laat aanpassen status van anderen toe
Een beveiligingsfout van WhatsApp maakt het mogelijk het statusbericht van een willekeurige gebruiker aan te passen. Via een website kan een statusbericht worden ingevoerd.
Via de tool op WhatsAppStatus.net kan een nieuw statusbericht worden ingevoerd voor elk willekeurig telefoonnummer, meldt Tweakers.net. De status wordt weergegeven in de contactenlijst en is voor iedere gebruiker zichtbaar.
Geen authenticatie
Webwereld heeft de tool getest en de status van een gebruiker succesvol kunnen wijzigen. Om de nieuwe status zichtbaar te maken op de telefoon moet de WhatsApp-applicatie eerst geforceerd worden gesloten, waarna het aangepaste statusbericht te zien is in de contactenlijst.
Het wijzigen van de status zou mogelijk zijn door een gebrek aan authenticatie op de xmpp-servers van WhatsApp. De dienst gebruikt dat protocol om te communiceren tussen de applicatie en de servers. Bij een verzoek om de status te wijzigen wordt niet gecontroleerd of dat verzoek daadwerkelijk afkomstig is van de telefoon van de gebruiker.
In september al ontdekt
Tweakers meldt dat het lek al in september zou zijn ontdekt. In december kwam het samen met andere beveiligingsproblemen in de openbaarheid. Voor het lek dat statusaanpassing mogelijk maakt kwam geen proof of concept beschikbaar, omdat dat lek nog niet gefixt was. Het is onduidelijk of de tool gemaakt is door de ontdekkers van het lek.
Het is niet het eerste beveiligingsprobleem dat is ontdekt in de populaire chatapplicatie. Eerder bleek al dat dienst was af te luisteren, omdat er gebruik gemaakt werd van onversleutelde verbindingen. Ook bleek het mogelijk accounts over te nemen door middel van sms-spoofing.
Bron: Webwereld.nl