Whatsapp

WhatsApp en Telegram hebben een lek in hun webversies gedicht, waarmee aanvallers gebruikersaccounts konden overnemen. Het bedrijf Check Point ontdekte het lek en stelde de makers van de chatdiensten vorige week op de hoogte. heck Point beschrijft het dat het gebruik van de kwetsbaarheid mogelijk was door een kwaadaardig html-bestand met een preview van een afbeelding naar een slachtoffer te sturen. Daarmee was toegang mogelijk tot onder meer persoonlijke en groepsgesprekken, gedeelde bestanden en contacten.

 

In het geval van WhatsApp waren de onderzoekers in staat om de restricties op het gebied van bestandstypen in de webversie te omzeilen door gebruik te maken van het opslaan van bestanden als 'blob' op de de WhatsApp-servers verstuurd worden. Op die manier konden zij een kwaadaardig html-bestand uploaden, dat voorzien was van een aantrekkelijke preview waar een gebruiker op zou klikken. Als een gebruiker inderdaad op het bestand klikte, werd zijn lokale opslag naar de aanvallers gestuurd. Daardoor kan de aanvaller het account van het slachtoffer overnemen, aldus Check Point.

Het slachtoffer zou in dat geval een mededeling te zien krijgen dat er op een andere locatie is ingelogd, maar deze is te omzeilen door gebruik van een aantal regels code om het browservenster van het slachtoffer te laten vastlopen.

In het geval van Telegram waren de onderzoekers eveneens in staat om de bestandsrestricties voor het uploaden van bestanden te omzeilen. Zo konden zij ook hier een kwaadaardig html-bestand uploaden dat de indruk wekt een video te bevatten. Het verschil met de WhatsApp-methode is dat een slachtoffer de video in een nieuw tabblad moet openen, waardoor een aanvullende stap is vereist voor een succesvolle aanval. Ook toont Telegram geen waarschuwing, omdat het meerdere sessies toelaat. Het verdere verloop van de methode komt overeen met die van WhatsApp.

Forbes schrijft dat de lekken sinds de release van de WhatsApp-software in januari 2015 bestonden. Het bedrijf claimt dat er sindsdien geen gebruik is gemaakt van de kwetsbaarheid. De onderzoekers zeggen dat zij niet onderzocht hebben of de webversie van Signal eveneens kwetsbaar is voor deze methode. De bedrijven hebben de kwetsbaarheid opgelost door bestandstypes voor upload te valideren. het is niet de eerste keer dat de webversie van WhatsApp kwetsbaar blijkt. In 2015 bleek dat het mogelijk was om malware via vcards te verspreiden.

 

Reacties mogelijk gemaakt door CComment