Er heeft ruim een half jaar een ernstig beveiligingslek in de web-versie van WhatsApp gezeten. Daardoor was het mogelijk om via een vermomde vCard malware te installeren op pc's.
Dat ontdekte beveiligingsbedrijf Check Point, dat WhatsApp heeft ingelicht over het lek.
Web-versie
Het lek zit in de desktop-versie van WhatsApp, die het mogelijk maakt te chatten via de browser. Dat gebeurt niet native, maar door een koppeling met je smartphone.
Contact delen
Het lek maakte het mogelijk om een .BAT-bestand te versturen met kwaadaardige code. Daarmee is het mogelijk om malware te installeren op een systeem, zoals keyloggers of andere software.
Malware installeren
Het .BAT-bestand moest daarbij worden vermomd als vCard, het formaat waarmee contacten worden gedeeld op WhatsApp. Om de code uit te voeren, hoefden de aanvallers alleen maar een contact te delen en te zorgen dat de ontvanger het bestand opende.
Update
Het beveiligingsbedrijf heeft het lek direct aan WhatsApp bekend gemaakt. Dat heeft het direct gedicht, waardoor het inmiddels veilig is de web-app te gebruiken. Gebruikers waren echter ruim een half jaar kwetsbaar, waardoor iedereen die in die tijd een vCard heeft geaccepteerd mogelijk kwetsbaar is.
Als je WhatsApp Web gebruikt, hoef je geen update uit te voeren. De website wordt automatisch geüpdate.