Onderzoekers van de universiteit van Wenen en SBA Research hebben een grote kwetsbaarheid (pdf-bestand) in de gegevensbescherming ontdekt in de contactzoeker van WhatsApp. Dit stelde hen in staat een ongekend uitgebreide analyse uit te voeren van alle WhatsApp-profielen en 3,5 miljard profielen te identificeren. Inmiddels schijnt WhatsApp het lek te hebben gedicht.
Om andere WhatsAppgebruikers te vinden op basis van hun telefoonnummer, kan de contactzoeker van WhatsApp toegang krijgen tot de telefooncontacten van gebruikers. Onderzoekers in Wenen hebben aangetoond hoe dit mechanisme kan worden misbruikt om meer dan 100 miljoen telefoonnummers per uur te bevragen, wat uiteindelijk resulteerde in meer dan 3,5 miljard actieve profielen in 245 (zegt het persbericht) landen.
“Normaal gesproken zouden zoveel vragen niet in zo’n korte tijd door één bron of server beantwoord mogen worden, legt hoofdauteur Gabriel Gegenhuber van de universiteit Wenen uit. “Dit was de beveiligingskwetsbaarheid, omdat we vrijwel onbeperkt vragen naar de server konden sturen en zo een wereldwijd onderzoek konden uitvoeren”.
Hierdoor konden ze openbare gegevens verzamelen, zoals telefoonnummers, openbare sleutels, tijdstempels en, indien openbaar beschikbaar, profielfoto’s en de tekst ‘Over ons’. Uit deze datapunten konden de IT-beveiligingsspecialisten vervolgens aanvullende metadata verzamelen die informatie onthulden over de besturingssystemen van gebruikers, de leeftijd van de profielen en het aantal verbonden secundaire apparaten (bijv. WhatsApp Web).
Zo werden er miljoenen actieve WhatsApp-profielen geïdentificeerd in landen waar het platform officieel verboden is, waaronder China, Iran en Myanmar. De onderzoekers zagen dat de meerderheid van de WhatsAppgebruikers wereldwijd Android gebruikte (81%) tegen iOS (19%), de regionale verschillen in privacygedrag (bijv. het gebruik van openbare profielfoto’s of ‘Over ons’-teksten) en verschillen in profielactiviteit en -groei tussen landen.
In enkele gevallen zagen ze hergebruik van cryptografische sleutels op verschillende apparaten of telefoonnummers, wat wijst op kwetsbaarheden in onofficiële WhatsApp-clients of frauduleus gebruik.
Bijna de helft van alle telefoonnummers die in het Facebook-datalek van 2021 voorkwamen (500 miljoen telefoonnummers in 2018) waren nog steeds actief op WhatsApp. Dit laat het aanhoudende risico zien van belaagde nummers, die, bijvoorbeeld, doelwit kunnen worden van frauduleuze telefoontjes.
De onderzoekers hebben niet geprobeerd toegang tot de inhoud van berichten te krijgen en er werden geen persoonlijke gegevens gepubliceerd of gedeeld. Alle opgehaalde gegevens werden door de onderzoekers vóór publicatie verwijderd.
De inhoud van berichten op WhatsApp is eind-tot-eind versleuteld en is op geen enkel moment gekraakt. “Deze eind-tot-eindversleuteling beschermt de inhoud van berichten, maar niet noodzakelijkerwijs de bijbehorende metadata”, zegt medehoofdauteur Aljosha Judmayer van de Universiteit van Wenen. “Ons werk toont aan dat er ook risico’s voor gegevensprivacy kunnen ontstaan wanneer dergelijke metadata op grote schaal worden verzameld en geanalyseerd.”
Continue aandacht
Gegenhuber: “Deze bevindingen herinneren ons eraan dat zelfs volwassen, breed vertrouwde systemen ontwerp- of implementatiefouten kunnen bevatten die gevolgen hebben in de praktijk. Ze tonen aan dat beveiliging en gegevensprivacy geen eenmalige prestaties zijn, maar continu opnieuw beoordeeld moeten worden in de loop van technologische ontwikkeling.”
Het onderzoek werd volgens de onderzoekers uitgevoerd volgens strikte, ethische richtlijnen en in overeenstemming met de principes van verantwoorde openbaarmaking. De bevindingen werden onmiddellijk gerapporteerd aan Meta, de eigenaar van WhatsApp, die dan ook tegenmaatregelen heeft genomen om de geïdentificeerde kwetsbaarheid te dichten.
Bron: idw-online.de