Meta zei dinsdag dat het een tool beschikbaar heeft gesteld met de naam WhatsApp-onderzoeksproxy aan enkele van zijn ervaren bugbounty-onderzoekers om het programma te helpen verbeteren en effectiever onderzoek te doen naar het netwerkprotocol van het berichtenplatform.
Het idee is om het gemakkelijker te maken om je te verdiepen in WhatsApp-specifieke technologieën, aangezien de applicatie een lucratief aanvalsoppervlak blijft voor door de staat gesponsorde actoren en commerciële spywareleveranciers.
Het bedrijf merkte ook op dat het een proefinitiatief aan het opzetten is waarbij het onderzoeksteams uitnodigt om zich te concentreren op platformmisbruik met ondersteuning voor interne engineering en tooling. “Ons doel is om de toetredingsdrempel te verlagen voor academici en andere onderzoekers die misschien niet zo bekend zijn met bugpremies om zich bij ons programma aan te sluiten”, voegde het eraan toe.
De ontwikkeling komt op het moment dat de socialemediagigant zei dat hij de afgelopen 15 jaar meer dan 25 miljoen dollar aan bugpremies heeft toegekend aan meer dan 1.400 onderzoekers uit 88 landen, waarvan alleen al dit jaar ruim 4 miljoen dollar werd uitbetaald voor bijna 800 geldige rapporten. In totaal zei Meta ongeveer 13.000 inzendingen te hebben ontvangen.
Enkele van de opmerkelijke bugvondsten waren onder meer een onvolledige validatiebug in WhatsApp vóór v2.25.23.73, WhatsApp Business voor iOS v2.25.23.82 en WhatsApp voor Mac v2.25.23.83, waardoor een gebruiker de verwerking van inhoud die was opgehaald van een willekeurige URL op het apparaat van een andere gebruiker kon activeren. Er is geen bewijs dat het probleem in het wild werd uitgebuit.
Meta heeft ook een patch op besturingssysteemniveau uitgebracht om het risico te beperken dat voortkomt uit een kwetsbaarheid die wordt bijgehouden als CVE-2025-59489 (CVSS-score: 8,4), waardoor kwaadaardige applicaties die op Quest-apparaten zijn geïnstalleerd, Unity-applicaties konden manipuleren om willekeurige code-uitvoering te bewerkstelligen. Flatt Security-onderzoeker RyotaK is erkend voor het ontdekken en rapporteren van de fout.
Eenvoudig WhatsApp-beveiligingslek onthult 3,5 miljard telefoonnummers
Ten slotte zei Meta dat het anti-scraping-bescherming aan WhatsApp heeft toegevoegd naar aanleiding van een rapport waarin een nieuwe methode werd beschreven om WhatsApp-accounts op grote schaal in 245 landen op te sommen en een dataset op te bouwen die elke gebruiker bevat, waarbij de snelheidsbeperkingen van de dienst worden omzeild. WhatsApp heeft ongeveer 3,5 miljard actieve gebruikers.
De aanval maakt gebruik van een legitieme WhatsApp-functie voor het ontdekken van contacten, waarbij gebruikers eerst moeten bepalen of hun contacten op het platform zijn geregistreerd. Het stelt een aanvaller in wezen in staat om openbaar toegankelijke basisinformatie samen te stellen, samen met zijn profielfoto’s, Over-tekst en tijdstempels die zijn gekoppeld aan belangrijke updates met betrekking tot de twee kenmerken. Meta zegt geen aanwijzingen te hebben gevonden dat deze vector ooit in een kwaadwillige context is misbruikt.
Interessant is dat uit het onderzoek blijkt dat miljoenen telefoonnummers geregistreerd zijn bij WhatsApp in landen waar het officieel verboden is, waaronder 2,3 miljoen in China en 1,6 miljoen in Myanmar.
“Normaal gesproken zou een systeem niet in zo’n korte tijd op zo’n groot aantal verzoeken moeten reageren, vooral niet als het uit één enkele bron komt”, zegt Gabriel Gegenhuber, onderzoeker van de Universiteit van Wenen en hoofdauteur van het onderzoek. “Dit gedrag legde de onderliggende fout bloot, waardoor we feitelijk onbeperkte verzoeken aan de server konden doen en daarmee gebruikersgegevens wereldwijd in kaart konden brengen.”
“We hadden al gewerkt aan toonaangevende anti-schraapsystemen, en deze studie speelde een belangrijke rol bij het testen van stress en het bevestigen van de onmiddellijke werkzaamheid van deze nieuwe verdedigingsmechanismen”, vertelde Nitin Gupta, vice-president engineering bij WhatsApp, aan The Hacker News in een verklaring.
“Belangrijk is dat de onderzoekers de gegevens die zijn verzameld als onderdeel van het onderzoek veilig hebben verwijderd, en we hebben geen bewijs gevonden dat kwaadwillende actoren deze vector misbruiken. Ter herinnering: gebruikersberichten bleven privé en veilig dankzij de standaard end-to-end-codering van WhatsApp, en er waren geen niet-openbare gegevens toegankelijk voor de onderzoekers.”
Eerder dit jaar demonstreerden Gegenhuber et al. ook een ander onderzoek met de titel Careless Whisper, waaruit bleek hoe ontvangstbewijzen aanzienlijke privacyrisico’s voor gebruikers kunnen opleveren, waardoor een aanvaller specifiek vervaardigde berichten kan verzenden die zonder hun medeweten of toestemming ontvangstbewijzen kunnen activeren en hun activiteitsstatus kunnen achterhalen.
“Door deze techniek met hoge frequentie te gebruiken, laten we zien hoe een aanvaller privé-informatie kan extraheren, zoals het volgen van een gebruiker op verschillende begeleidende apparaten, het afleiden van hun dagelijkse schema of het afleiden van huidige activiteiten”, aldus de onderzoekers.
“Bovendien kunnen we het aantal momenteel actieve gebruikerssessies (dat wil zeggen hoofd- en begeleidende apparaten) en hun besturingssysteem afleiden, en aanvallen uitputten, zoals het leegmaken van de batterij van een gebruiker of de datalimiet, allemaal zonder enige melding aan de doelzijde te genereren.”
(Het verhaal werd na publicatie bijgewerkt met een reactie van WhatsApp en duidelijk gemaakt dat CVE-2025-59489 was gepatcht en uitgegeven door Unity.)
