Een groep onderzoekers van de Universiteit van Wenen en het SBA Research Center hebben een verrassend eenvoudige kwetsbaarheid geïdentificeerd in de contactdetectiefunctie van WhatsApp, degene die de app gebruikt om te controleren of een nummer op het platform is geregistreerd.

Door deze verzoeken te automatiseren zonder enige technische limiet te ondervinden, slaagden de wetenschappers erin een archief op te bouwen met 3,5 miljard telefoonnummers uit 245 landen. Dit alles zonder servers te hacken of end-to-end-encryptie te omzeilen, maar met behulp van een mechanisme dat al door de app wordt aangeboden.

Voor de aanval waren geen geavanceerde technieken nodig: het volstond om systematisch reeksen telefoonnummers uit te proberen. Naast de aanwezigheid van het account retourneerde het systeem informatie die WhatsApp standaard openbaar maakt, zoals profielfoto’s (teruggevonden in 57-59% van de gevallen), persoonlijke statussen (ongeveer 29%), apparaattype en bijbehorende openbare sleutels. De collectie onthulde ook merkwaardige elementen, zoals actieve gebruikers in landen waar de app officieel verboden is, waaronder China, Myanmar en Noord-Korea.

Gevolgen voor de privacy en over het hoofd geziene precedenten

Het onderzoek bracht een al jaren bekend probleem aan het licht: al in 2017 werd melding gemaakt van de mogelijkheid om WhatsApp-accounts op te sommen, zij het in beperkte vorm. Desondanks heeft het platform geen echt effectieve barrières geïntroduceerd tegen grootschalige geautomatiseerde verzoeken.

De onderzoekers wezen ook op bijkomende kritieke problemen: ongeveer de helft van de mensen die betrokken waren bij het Facebook-datalek in 2021 is nog steeds actief op WhatsApp en er zijn afwijkingen waargenomen bij het hergebruik van sommige cryptografische sleutels, vooral door niet-officiële apps.

Meta’s reactie

Nadat de fout was vastgesteld, vernietigde het team de verzamelde gegevens en informeerde Meta, die bevestigde dat het maatregelen had genomen om het probleem te verhelpen. Volgens het bedrijf is er geen bewijs dat deze kwetsbaarheid door kwaadwillende actoren is uitgebuit. Meta herhaalde ook zijn samenwerking met wetenschappers als onderdeel van zijn Bug Bounty-programma, waarbij hij erkende dat de gebruikte techniek de limieten voor automatische verzoeken overschreed. Ondanks de geruststellingen heropent het verhaal het debat over de noodzaak van strengere controles en grotere transparantie over het beheer van metadata, vooral gezien het feit dat WhatsApp wereldwijd meer dan twee miljard gebruikers heeft.

Mogelijk bent u ook geïnteresseerd in:

Sofie Van der Meer
Sofie Van der Meer

Mijn naam is Sofie van der Meer, en ik ben de hoofdredacteur van Envirodesk. Met een achtergrond in milieujournalistiek en meer dan tien jaar ervaring in het rapporteren over klimaatbeleid en duurzaamheidsinnovaties, ben ik gepassioneerd over het gebruik van storytelling om verandering teweeg te brengen. Mijn missie is om oplossingen te versterken en actie te inspireren voor een groenere, rechtvaardigere wereld.