In het kort
- Hackers kunnen een fout in WhatsApp voor Android gebruiken om media te downloaden op de telefoons van mensen zonder dat ze iets hoeven te doen.
- Deze kwetsbaarheid omzeilt de beveiliging van WhatsApp die normaal gesproken automatische downloads van onbekende afzenders tegenhoudt.
- Door automatische mediadownloads uit te schakelen in de instellingen van WhatsApp, kun je jezelf goed beschermen tegen deze dreiging.
Een beveiligingslek dat is ontdekt door onderzoekers van Google Project Zero heeft een zorgwekkende fout in de Android-versie van WhatsApp blootgelegd. Door deze fout kunnen aanvallers media-downloads op het apparaat van een gebruiker forceren zonder dat de gebruiker iets hoeft te doen.
Misbruik maken van beveiligingsmaatregelen
Details over deze kwetsbaarheid werden voor het eerst gedocumenteerd op het Project Zero-portaal van Google in september 2025, maar werden pas op 30 november openbaar gemaakt. Hoewel er op 11 november een gedeeltelijke oplossing werd geïmplementeerd, is een volledige oplossing nog steeds in behandeling.
De kwetsbaarheid maakt misbruik van een beveiligingsmaatregel van WhatsApp die is ontworpen om ongewenste downloads te voorkomen. Normaal gesproken downloadt WhatsApp alleen automatisch mediabestanden (zoals foto’s en video’s) als de afzender is opgeslagen als contactpersoon en er eerder communicatie met hem of haar heeft plaatsgevonden. Deze beveiliging is bedoeld om gebruikers te beschermen tegen onbedoelde downloads van onbekende bronnen.
Beveiliging omzeilen
Deze kwetsbaarheid omzeilt deze beveiliging echter. Aanvallers kunnen misbruik maken van het lek door de beoogde gebruiker simpelweg toe te voegen aan een WhatsApp-groep samen met een bekend contact van de beoogde gebruiker, die ze vervolgens promoveren tot groepsbeheerder.
Omdat de gebruiker nu in een groep zit met een vertrouwd contact dat ook de groep beheert, downloadt het systeem van WhatsApp automatisch alle mediabestanden die binnen de groep worden gedeeld.
Hackers
Hoewel er schijnbaar onschuldige bestanden zoals schattige dierenfoto’s worden gedeeld, kunnen aanvallers deze methode gebruiken om kwaadaardige afbeeldingen te verspreiden. Deze afbeeldingen kunnen hackers vervolgens toegang geven tot gevoelige delen van het apparaatgeheugen van een gebruiker, waardoor hun veiligheid in gevaar kan komen.
Onderzoekers denken dat het relatief eenvoudig is om gerelateerde contacten voor deze aanval te identificeren en dat aanvallers met vallen en opstaan kunnen zoeken totdat ze een geschikte combinatie hebben gevonden. Hoewel het onbekend is of deze kwetsbaarheid in echte aanvallen is misbruikt, beschouwen onderzoekers het als een reële bedreiging.
Wat kan je doen?
Gelukkig zijn er simpele stappen die gebruikers kunnen nemen om zichzelf te beschermen. Het uitschakelen van automatische mediadownloads in de instellingen van WhatsApp vermindert het risico effectief. Als alternatief kan het activeren van de geavanceerde privacymodus van WhatsApp ook extra bescherming bieden tegen dit soort aanvallen.