Via de tool op WhatsAppStatus.net kan een nieuw statusbericht worden ingevoerd voor elk willekeurig telefoonnummer, meldt Tweakers.net. De status wordt weergegeven in de contactenlijst en is voor iedere gebruiker zichtbaar.

Geen authenticatie

Webwereld heeft de tool getest en de status van een gebruiker succesvol kunnen wijzigen. Om de nieuwe status zichtbaar te maken op de telefoon moet de WhatsApp-applicatie eerst geforceerd worden gesloten, waarna het aangepaste statusbericht te zien is in de contactenlijst.

Het wijzigen van de status zou mogelijk zijn door een gebrek aan authenticatie op de xmpp-servers van WhatsApp. De dienst gebruikt dat protocol om te communiceren tussen de applicatie en de servers. Bij een verzoek om de status te wijzigen wordt niet gecontroleerd of dat verzoek daadwerkelijk afkomstig is van de telefoon van de gebruiker.

In september al ontdekt

Tweakers meldt dat het lek al in september zou zijn ontdekt. In december kwam het samen met andere beveiligingsproblemen in de openbaarheid. Voor het lek dat statusaanpassing mogelijk maakt kwam geen proof of concept beschikbaar, omdat dat lek nog niet gefixt was. Het is onduidelijk of de tool gemaakt is door de ontdekkers van het lek.

Het is niet het eerste beveiligingsprobleem dat is ontdekt in de populaire chatapplicatie. Eerder bleek al dat dienst was af te luisteren, omdat er gebruik gemaakt werd van onversleutelde verbindingen. Ook bleek het mogelijk accounts over te nemen door middel van sms-spoofing.

Update 11:57: De tool op WhatsAppstatus.net lijkt het op dit moment niet meer te doen. Het is onduidelijk of dit komt doordat het lek is gedicht of dat de site het verkeer niet kan verwerken.

Update 13:15: Jan Koum, senior tweet manager bij WhatsApp, zegt tegen de IDG Newsservice dat de berichtendienst op de hoogte is van het probleem. Het probleem is gepatcht, maar WhatsApp werkt nog aan een definitieve oplossing. Die oplossing komt morgen, zegt Koum.