Elke willekeurige Android-app kan de backup van WhatsApp-berichten inlezen, waardoor cybercriminelen in staat zijn om berichtenlezende malware te maken. Beveiligingsonderzoeker Bas Bosschert beschrijft op zijn website een proof-of-concept om deze berichten uit te lezen en te uploaden naar een externe webserver.

Eenvoudig ontsleutelen

De vooralsnog theoretische malafide app heeft maar enkele machtigingen nodig, waaronder het de toegang tot de SD-kaart (waar de back-up wordt opgeslagen). Nieuwere versies van WhatsApp versleutelen bestanden, maar deze is volgens Bosschert eenvoudig te ontsleutelen en uit te lezen als een SQLite3-database in een Excel-sheet.

De onderzoeker meldt aan Business Insider dat de code bijvoorbeeld kan worden toegevoegd aan een game. De gebruiker zou dan een laadscherm te zien krijgen en niet zien dat ondertussen de berichtendatabase vanaf de SD-kaart wordt geüpload naar een server. Google weert apps uit webwinkel Play die worden betrapt op zulk stiekem gedrag.