Gevaarlijk WhatsApp-lek laat media downloaden zonder dat je iets doet
Documentatie van het betreffende lek in WhatsApp werd al in september 2025 vastgelegd op het Project Zero-portaal van Google. Het duurde vervolgens tot 30 november voordat Google het lek publiek maakte. In de tussenliggende 90 dagen kwam er geen volledige oplossing voor de bug. De kwetsbaarheid werd op 11 november slechts deels verholpen en wacht nog steeds op een definitieve fix.
Mediadownloads op WhatsApp
De kwetsbaarheid die door het Project Zero-team wordt uitgelicht, maakt het mogelijk om een beschermingsmaatregel van WhatsApp te omzeilen. Die houdt in dat WhatsApp bestanden, zoals foto’s en video’s, pas automatisch downloadt als je de afzender als contact hebt opgeslagen én er eerder mee hebt gechat.
Onbekenden kunnen in principe dus geen bestanden op je toestel laten downloaden. Door een kwetsbaarheid in WhatsApp blijkt dat echter alsnog mogelijk. Ingewikkeld is het proces ook niet. Aanvallers hoeven je namelijk alleen samen met een door jou gekend contact in dezelfde groep te plaatsen om de download te forceren.
Dat werkt als volgt: de aanvallers voegen eerst jou toe aan een WhatsApp-groep. Vervolgens voegen ze een contact toe dat jij kent en maken ze dat contact beheerder van de groep. Je zit dan ineens in een groep met een vertrouwd contact dat ook nog eens de groep beheert. Voor WhatsApp is de rekensom snel gemaakt: bestanden worden daarna gewoon automatisch gedownload.
Kwaadaardige bestanden
Natuurlijk is er niets mis met foto’s van schattige katten of honden, maar dat is niet waar aanvallers op uit zijn. Hun doel is toegang krijgen tot je telefoon. Via deze omweg kunnen ze kwaadaardige afbeeldingen versturen. Met zulke bestanden zou een hacker toegang kunnen krijgen tot zogeheten out-of-bounds memory, en daarmee tot het systeemgeheugen van je toestel.
De onderzoekers schatten in dat het redelijk eenvoudig is om gerelateerde contacten te vinden. Aanvallers kunnen bovendien trial-and-error toepassen om uiteindelijk een geschikte combinatie te vinden. Of deze aanvalsmethode al in de praktijk is gebruikt, is niet bekend, maar volgens de onderzoekers is misbruik zeker niet ondenkbaar.
Er is gelukkig een eenvoudige oplossing: schakel automatische downloads uit in WhatsApp. Ook de Advanced Privacy Mode kan bescherming bieden tegen dit type aanval.
