Vandaag hebben we gehoord over een belangrijke beveiligingsfout in WhatsApp, het zou je IP-adres kunnen lekken. WhatsApp heeft door de geschiedenis heen ernstige beveiligingsfouten gehad. Een van de belangrijkste had te maken met gemiste oproepen. Alleen al door een gemiste oproep te ontvangen, kan iedereen chats en afbeeldingen van onze mobiele telefoon stelen. Nu onthult een nieuwe beveiligingsfout het IP-adres van de gebruiker.
De bug is ontdekt door een gebruiker genaamd bhdresh, die zelfs een proof of concept heeft gemaakt waarin hij laat zien hoe de kwetsbaarheid werkt en hoe deze kan worden misbruikt om het IP-adres van een persoon te verkrijgen door gewoon via de app te bellen.
Iedereen kan je IP kennen via WhatsApp met deze beveiligingsfout
De beveiligingsfout werkt zelfs in de nieuwste versie van de app. Hiervoor moet je eerst een script instellen dat het verkeer kan lezen bij het bellen of videobellen op de app. Daarna probeert de app van de afzender verbinding te maken met het IP-adres van de ontvanger. Door het IP-adres van de Facebook- en WhatsApp-server van de ontvanger te filteren, is het mogelijk om hun IP-adres te onthullen zonder dat de gebruiker het weet.
Met deze methode kunnen gebruikers openbare IP-adressen leren om de geschatte locatie van deze gebruikers te achterhalen en zo hun bewegingen te volgen door een locatiegeschiedenis te creëren.
Om de aanval uit te voeren is het allereerst noodzakelijk om de smartphone en de computer met hetzelfde wifi-netwerk te verbinden.
Daarna hoef je alleen nog maar een WhatsApp-gebruiker te bellen. De oproep moet tussen beide partijen tot stand worden gebracht en dan kunnen we ophangen omdat het script het IP-adres van de ontvanger al toont.
Facebook zegt dat het het niet zal oplossen
De gebruiker die deze kwetsbaarheid heeft ontdekt, meldde de bug op 14 oktober 2020 aan Facebook, maar het sociale netwerk zei dat dit de verwachte operatie was en dat er niets te patchen was, dus ze gingen geen beloning uitdelen. Het enige advies dat ze gaven was om een VPN te gebruiken als ze niet wilden dat hun IP-adres zou worden gelekt.
In maart 2021 introduceerde Signal een mechanisme om oproepen om te leiden via een server om het echte IP-adres van de ontvanger te verbergen. Dus bhdresh vroeg Facebook opnieuw of ze zoiets konden implementeren, en ze zeiden nee, dat de huidige implementatie zonder problemen werkt. Dus ons IP-adres kan worden gelekt naar iedereen die ons belt, dus de enige oplossing is om een VPN te gebruiken.