WhatsApp introduceert stilletjes een nieuwe veiligheidslaag voor foto's, video's en documenten, die volledig achter de schermen werkt. Het verandert niets aan de manier waarop je chat, maar wel aan wat er gebeurt met de bestanden die via je chats worden verzonden, met name bestanden waarin malware verborgen kan zitten.
De nieuwe functie, genaamd Strenge accountinstellingen, wordt de komende weken geleidelijk uitgerold. Om te zien of je deze optie hebt – en om deze in te schakelen – ga je naarInstellingen> Privacy > Advanced.
Gisteren schreven we over een WhatsApp-bug op Android die de krantenkoppen haalde omdat een kwaadaardig mediabestand in een groepschat kon worden gedownload en gebruikt als aanvalsvector zonder dat je iets hoefde aan te tikken. Je hoefde alleen maar aan een nieuwe groep te worden toegevoegd om aan het boobytrapped bestand te worden blootgesteld. Dat probleem bracht iets aan het licht waar beveiligingsdeskundigen zich al jaren zorgen over maken: mediabestanden zijn een uitstekend middel voor aanvallen, en daarbij wordt niet altijd WhatsApp zelf misbruikt, maar bugs in het besturingssysteem of de mediabibliotheken ervan.
In Meta's uitleg over de nieuwe technologie wordt verwezen naar de Stagefright Android uit 2015, waarbij het simpelweg verwerken van een kwaadaardige video een apparaat in gevaar kon brengen. Destijds loste WhatsApp het probleem op door zijn mediabibliotheek te leren om beschadigde MP4-bestanden te herkennen die deze OS-bugs konden veroorzaken, waardoor gebruikers beschermd waren, zelfs als hun telefoons niet volledig gepatcht waren.
Nieuw is dat WhatsApp zijn kernbibliotheek voor mediabeheer nu heeft herschreven in Rust, een geheugenveilige programmeertaal. Dit helpt bij het elimineren van verschillende soorten geheugenbugs die vaak tot ernstige beveiligingsproblemen leiden. Daarbij heeft het ongeveer 160.000 regels oudere C++-code vervangen door ongeveer 90.000 regels Rust, en de nieuwe bibliotheek uitgerold naar miljarden apparaten op Android, iOS, desktop-apps, wearables en het web.
Bovendien heeft WhatsApp een reeks controles gebundeld in een intern systeem dat het 'Kaleidoscope' noemt. Dit systeem controleert inkomende bestanden op structurele afwijkingen, markeert risicovolle formaten zoals pdf's met ingesloten inhoud of scripts, detecteert wanneer een bestand zich voordoet als iets anders dan het is (bijvoorbeeld een hernoemd uitvoerbaar bestand) en markeert bekende gevaarlijke bestandstypen voor speciale behandeling in de app. Het zal niet elke aanval opvangen, maar het zou moeten voorkomen dat kwaadaardige bestanden de kwetsbaardere delen van uw apparaat kunnen aantasten.
Voor dagelijkse gebruikers zijn de herbouwde Rust- en Kaleidoscope-controles goed nieuws. Ze voegen een sterk, onzichtbaar vangnet toe rond foto's, video's en andere bestanden die u ontvangt, ook in groepschats waar de recente bug misbruikt zou kunnen worden. Ze sluiten ook naadloos aan bij ons eerdere advies om automatische mediadownloads uit te schakelen ofPrivacy Advanced Privacy te gebruiken, die beperkt hoe ver een kwaadaardig bestand zich op uw apparaat kan verspreiden, zelfs als het in WhatsApp terechtkomt.
WhatsApp is het nieuwste platform dat verbeterde beveiligingsmaatregelen voor gebruikers introduceert: Apple introduceerde in 2022 de Lockdown Mode en Android vorig jaar met Advanced Mode. De nieuwe Strict Account Settings van WhatsApp hanteren een vergelijkbare hoogwaardige aanpak, waarbij strengere standaardinstellingen binnen de app worden toegepast, waaronder het blokkeren van bijlagen en media van onbekende afzenders.
Dit is echter geen reden om meteen terug te keren naar WhatsApp of om deze veranderingen te beschouwen als een garantie voor veiligheid. Meta laat in ieder geval zien dat het bereid is te investeren in het veiliger maken van WhatsApp.
We rapporteren niet alleen over telefoonbeveiliging - we leveren het ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen weg van uw mobiele apparaten door Malwarebytes voor iOS en Malwarebytes voor Android vandaag nog te downloaden.
