WhatsApp is getroffen door een nieuw lek dat werd ontdekt door onderzoekers van Symantec. Het treft echter alleen Android-gebruikers, want het misbruikt de manier waarop Android met ontvangen foto’s en bestanden omgaat. Gebruikers met een iPhone zijn niet getroffen.

Het lek borduurt voort op een fundamenteel probleem in WhatsApp voor Android. Ontvangen bestanden en foto’s worden daar buiten de sandbox van de app opgeslagen in gedeelde opslag. Daar kunnen andere apps bij ontvangen bestanden en foto’s. Een kwaadaardige app kan ze bovendien manipuleren.

Alleen WhatsApp voor Android getroffen

Dat alle andere apps die ook toegang tot de gedeelde opslag op Android hebben ontvangen bestanden en foto’s uit kunnen lezen, is geen prettig idee. Toch is dit al jaren het geval en iets waar de meeste gebruikers mee moeten leven, totdat Google het rechtensysteem in Android grondig aanpakt.

Het door Symantec ontdekte lek gaat niet om het uitlezen van ontvangen bestanden, maar om het manipuleren ervan. Een kwaadaardige app kan nadat een foto of document ontvangen is ingrijpen en de inhoud manipuleren of vervangen. Het lijkt dan alsof je een gewoon document of foto hebt ontvangen, maar de inhoud is razendsnel aangepast. Dat kan een probleem vormen bij bijvoorbeeld bonnetjes of rekeningen.

Rechten niet goed geregeld, op iPhone wel

Dit lek is inherent aan de manier waarop Android omgaat met apps die bestanden buiten de sandbox van de app willen bewaren. Veel apps doen dit, ze vragen bij het installeren een boel rechten, waaronder ‘write_external_storage’ wat zorgt dat een app kan lezen en schrijven naar de gedeelde opslag. Omdat dit gebruikelijk is, staan de meeste gebruikers dit toe. Iedere app kan dan bij alles wat andere apps opslaan. In Android Q zou Google dit probleem aanpakken. Het is echter een jaar uitgesteld omdat het de werking van een boel apps in de weg zit.

Apple heeft dit op de iPhone wel goed geregeld. Ontvangen bestanden worden door WhatsApp standaard in de sandbox van de app opgeslagen. Daardoor kunnen andere (potentieel kwaadaardige) apps er niet bij. Foto’s belanden in de fotobibliotheek. Alleen wanneer de gebruiker er toestemming voor geeft, kan een andere app foto’s bewerken. Dit lek heeft geen direct hoge impact, maar toont wel aan dat Android nog een lange weg te gaan heeft.