Er heeft lange tijd een groot lek gezeten in de web-versie van WhatsApp, waardoor het mogelijk was voor kwaadwillenden om malware te injecteren op de pc van een gebruiker. Het lek is inmiddels gedicht.
Dat ontdekten beveiligingsonderzoekers van Check Point.
Web-versie
Het gaat om de web-versie van WhatsApp, waarmee het mogelijk is te chatten via een browser. Dat werkt alleen in combinatie met je smartphone, door de app te koppelen aan je browser – WhatsApp heeft geen native-app.
Contact delen
Hackers konden het lek misbruiken door een contact te delen met een ontvanger. Dat gebeurt in de web-app in de vorm van een vCard, waarmee je een contact meteen kunt opslaan in bijvoorbeeld Outlook.
Malware installeren
De hacker kan in zo’n geval een .BAT-file vermommen als vCard. Een .BAT-bestand kan worden voorzien van malware die zich op het systeem van de ontvanger nestelt. De aanvaller hoeft dan alleen maar een contact te delen met de ontvanger, en te zorgen dat die het bestand ook aanklikt op de computer.
Update
Het beveiligingsbedrijf heeft het lek direct aan WhatsApp bekend gemaakt. Dat heeft het direct gedicht, waardoor het inmiddels veilig is de web-app te gebruiken. Gebruikers waren echter ruim een half jaar kwetsbaar, waardoor iedereen die in die tijd een vCard heeft geaccepteerd mogelijk kwetsbaar is.
Als je WhatsApp Web gebruikt, hoef je geen update uit te voeren. De website wordt automatisch geüpdate.