Door een veiligheidslek in WhatsApp is het mogelijk om een smartphone via een video-call over te nemen. Miljoenen WhatsApp-gebruikers lopen potentieel gevaar. Googles Project Zero, een elite-team van hackers, is deze fout op het spoor gekomen en heeft deze nu openbaargemaakt – een week nadat WhatsApp een iOS- en Android-versie heeft gepubliceerd waar de fout uit verwijderd is.
De fout zit in het geheugenbeheer van de video-chats. Een speciaal voorbereid RTP-pakket kan het beheer dermate verstoren, dat de afzender een eigen code kan binnensluizen en daarmee de smartphone kan overnemen. Natalie Silvanovich van Project Zero heeft de fout ontdekt en gedocumenteerd met een voorbeeld exploit, die WhatsApp gecontroleerd laat crashen. Dat is de standaardmethode volgens welke fouten van de hoogste categorie worden aangetoond.
De kans is groot dat kwaadwillende hackers de onschuldige demo-exploit op korte termijn kunnen ombouwen om daarmee spionagesoftware op een smartphone te installeren. Het is daarom belangrijk dat WhatsApp-gebruikers controleren welke versie ze hebben en indien nodig een update uit de app-stores verkrijgen. De momenteel nieuwste versie voor iPhones is WhatsApp 2.18.93 en bij Android is het versie 2.18.302 (respectievelijk 2.18.306 in de Google Play Store). Via “Instellingen/Help/Over” kun je controleren welke versie op je smartphone draait.
WhatsApp heeft op 28 september een Android versie beschikbaargesteld die veilig is. Vreemd genoeg tonen sommige Google Play Stores nog versie 2.18.293 van 24 september als nieuwste versie, waar de fout nog wel in zit. In dat geval is het een mogelijke optie om de juiste versie direct van de WhatsApp site te downloaden. Dit kan echter betekenen dat je daarvoor tijdelijk de veiligheidsinstellingen moet uitschakelen die verhinderen dat je apps uit onbetrouwbare bronnen installeert. Wie dat liever niet doet, moet de komende dagen regelmatig blijven controleren tot de nieuwere versie in de Play Store verschijnt. Tot die tijd kun je beter geen video-chats beantwoorden, al helemaal niet als ze afkomstig zijn van onbekende nummers.
