Een onderzoeker van Google heeft een kwetsbaarheid in WhatsApp voor Android ontdekt waardoor het mogelijk is om zonder interactie van een gebruiker media op zijn toestel te downloaden. Dit zou voor potentiële verdere aanvallen zijn te misbruiken. Meta voerde op 11 november een server-aanpassing door dat het probleem deels verhelpt. Aan een volledige oplossing wordt nog gewerkt, aldus Brendon Tiszka van Google Project Zero. Google heeft de details van het probleem, dat op 2 september vorig jaar aan Meta werd gerapporteerd, openbaar gemaakt omdat Meta niet binnen de gestelde deadline met een update kwam.

Om beveiligingsproblemen en spam te voorkomen worden bij WhatsApp voor Android bestanden van personen die geen contact zijn niet automatisch gedownload. Er is enige interactie van de gebruiker vereist voordat een bestand van een niet-contact wordt gedownload. Bestanden die op een Androidtoestel zijn gedownload kunnen in de MediaStore-database verschijnen. Deze database indexeert en beheert mediabestanden. Zodra bestanden in deze database verschijnen opent dit het aanvalsoppervlak, aldus Tiszka.

Door WhatsApp gedownloade bestanden verschijnen meteen in de MediaStore-database. Dit zou verdere aanvallen mogelijk kunnen maken, aldus de Google-onderzoeker. Hij voegt toe dat een security bypass zoals het WhatsApp-lek kan leiden tot kwetsbaarheden waardoor een aanvaller bijvoorbeeld toegang tot out-of-bounds memory kan krijgen.

Om misbruik van het probleem te maken, waarvoor nog geen CVE-nummer beschikbaar is, moet een aanvaller eerst een WhatsApp-groep aanmaken. Vervolgens moet de aanvaller het slachtoffer aan deze groep toevoegen. Daarna voegt de aanvaller een contact van het slachtoffer toe aan deze groep. De aanvaller maakt dit contact vervolgens admin van de groep. De aanvaller stuurt dan een kwaadaardige afbeelding naar de groep, die automatisch door de telefoon van het slachtoffer wordt gedownload.

Tiszka merkt op dat een aanvaller voor het uitvoeren van de aanval wel eerst een contact van het slachtoffer moet kennen, maar dat dit ook te raden valt. "Het is eenvoudig dit meerdere keren achter elkaar te proberen, en het is waarschijnlijk eenvoudig om bij gerichte aanvallen contacten te raden." Het uitschakelen van automatische downloads of het inschakelen van de WhatsApp Advance Privacy Mode voorkomt dat bestanden automatisch worden gedownload.