De populaire chat-apps WhatsApp en Telegram hebben een ernstig beveiligingslek in de webversie gedicht waardoor een aanvaller accounts via een onschuldig lijkende afbeelding volledig kon overnemen en zo toegang tot gesprekken, foto’s, video’s en contactlijsten had kunnen krijgen.

Om de aanval uit te voeren moest een aanvaller een gebruiker wel zo ver zien te krijgen dat hij of zij een "afbeelding" met kwaadaardige code opende. De webversie van WhatsApp laat gebruikers verschillende soorten bestanden uploaden, zoals Office-documenten, pdf-bestanden, audiobestanden, filmpjes en afbeeldingen. De bestanden kunnen als bijlage worden verstuurd. Onderzoekers van beveiligingsbedrijf Check Point wisten de uploadbeperkingen die de apps hanteren te omzeilen.

Zo konden ze een kwaadaardig html-document met de preview van een afbeelding versturen. Het bestand werd zodoende als een afbeelding in de chat-app weergegeven. Als een gebruiker de "afbeelding" opende werd de "Local storage data" van de gebruiker naar de aanvaller teruggestuurd, die daarmee toegang tot het account kreeg. Volgens de onderzoekers van het bedrijf was de end-to-end-encryptie die beide chat-apps toepassen "de bron" van deze kwetsbaarheid.

Omdat de berichten versleuteld worden aan de kant van de zender, wisten WhatsApp en Telegram niet wat de inhoud hiervan was. Hierdoor konden ze niet voorkomen dat de kwaadaardige inhoud verzonden werd. WhatsApp en Telegram werden op 7 maart ingelicht en hebben de problemen in de webversie inmiddels verholpen. De inhoud wordt nu voor het versleutelen gecontroleerd. De chat-apps hebben bij elkaar meer dan 1 miljard gebruikers. Het gaat hier vooral om gebruikers van de mobiele app. Hoeveel mensen er van de webversie gebruikmaken is onbekend.