Notebookcheck Logo

Door zwakke beveiliging in WhatsApp en Signal kunnen laagopgeleide aanvallers gebruikers volgen

Tracking WhatsApp (symbolische afbeelding gemaakt met Stable Diffusion)
Tracking WhatsApp (symbolische afbeelding gemaakt met Stable Diffusion)
Onderzoekers van de Universiteit van Wenen hebben kwetsbaarheden ontdekt in WhatsApp en Signal die het mogelijk maken om gebruikers ongemerkt te volgen via metingen van de rondetijd (RTT). Een eenvoudig programma dat nu beschikbaar is op GitHub laat zien hoe gemakkelijk deze zwakke plek kan worden uitgebuit.
Security Science Software Hack / Data Breach Social Media

Een groep onderzoekers van de Universiteit van Wenen heeft een klein maar ernstig beveiligingslek gevonden in de manier waarop end-to-end gecodeerde (E2EE) berichtendiensten werken. De studie, oorspronkelijk gepubliceerd op 17 november 2024, onder de titel "Careless Whisper: Silent Delivery Receipts misbruiken om gebruikers op mobiele Instant Messengers te controlerenwordt gewezen op de mogelijkheid om apparaten te volgen met behulp van RTT-gegevens (Round-Trip Time) wanneer WhatsApp of Signal zijn geïnstalleerd.

Er is nu een programma vrijgegeven op GitHub dat automatisch gebruik kan maken van deze kwetsbaarheid in WhatsApp. Hoewel het beschikbaar stellen van een dergelijk hulpmiddel ethische bezwaren oproept, is het doel ervan bedoeld om WhatsApp onder druk te zetten om het beveiligingslek aan te pakken en de privacybescherming van gebruikers te verbeteren.

Het basisidee achter dat programma blijkt verrassend eenvoudig te zijn. De tracker stuurt reactieberichten naar niet-bestaande bericht-ID's. Het doelapparaat antwoordt alsnog met een ontvangstbevestiging. Deze reactie, onzichtbaar voor de gebruiker, onthult de tijd die nodig was om het gemanipuleerde verzoek te verzenden en te ontvangen - de RTT.

Hoewel deze gegevenspunten op zichzelf niet direct een locatie onthullen, kunnen ze waardevolle inzichten opleveren als ze over langere perioden worden verzameld. Patronen in de RTT-gegevens kunnen aangeven wanneer een apparaat actief in gebruik of in stand-by is. Het type netwerkverbinding, zoals Wi-Fi of mobiel, kan ook worden afgeleid. Door deze activiteitspatronen over uren of dagen te analyseren, kunnen aanvallers conclusies trekken over het gedrag van gebruikers. Bovendien verbruiken de constante verzoeken de batterijduur en mobiele gegevens op de getroffen smartphone.

Op dit moment hebben gebruikers beperkte mogelijkheden om zich tegen deze trackingmethode te verdedigen. Er zijn geen meldingen op smartphones die gebruikers waarschuwen voor een dergelijke monitoring. Het telefoonnummer van de aanvaller kan niet worden achterhaald, waardoor blokkeren onmogelijk is. Signal noch WhatsApp bieden momenteel een optie om ontvangstbevestigingen uit te schakelen. Een drastische oplossing is op dit moment de enige optie. Verwijder alle getroffen end-to-end versleutelde berichtendiensten van uw apparaat.

Please share our article, every link counts!
Mail Logo
> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2025 12 > Door zwakke beveiliging in WhatsApp en Signal kunnen laagopgeleide aanvallers gebruikers volgen
Marc Herter, 2025-12-11 (Update: 2025-12-11)