Ongedocumenteerde WhatsApp-api maakt grootschalige dataverzameling mogelijk

Ongedocumenteerde WhatsApp-api maakt grootschalige dataverzameling mogelijk

Loran Kloeze, een ervaren beveiligingsexpert heeft op zijn eigen blog bekend gemaakt hoe een database kan worden aangemaakt waarin persoonlijke gegevens zijn terug te vinden van nagenoeg alle WhatsApp-gebruikers.

Het zou hierbij niet alleen gaan om de profielfoto, maar ook om de telefoonnummers evenals de statusinformatie. Het aanleggen van een dergelijke database blijkt mogelijk te zijn door middel van de ongedocumenteerde API van WhatsApp Web.

Kloeze stelde op zijn blog dat de dataverzameling te verkrijgen is omdat de API van de webversie van WhatsApp het telefoonnummer naar de server zendt. Vervolgens worden ook de profielfoto, de statustekst evenals de informatie over de onlinestatus van de persoon in kwestie opnieuw naar de browser gestuurd. Kloeze is van mening dat de server deze informatie terugstuurt naar alle denkbare telefoonnummers. Dit gebeurt dus met andere woorden ook naar gebruikers die niet in de lijst met contactpersonen van iemand staan. Op deze manier wordt het zeer eenvoudig om de persoonsgegevens in een database op te laten nemen.

Zelfgeschreven script

Door middel van een zelfgeschreven script is Kloeze er in ieder geval in geslaagd om van een niet onaanzienlijk aantal telefoonnummers de statusinformatie op te vragen. Er wordt hiervoor gebruik gemaakt van een drietal zogenaamde API-calls. De eerste call zorgde er voor dat de url van de profielfoto kon worden opgevraagd. De tweede call werd ingezet om de statustekst van de WhatsApp-gebruiker aan te vragen en met de derde en laatste call kon worden gezien of iemand al dan niet online was.

WhatsApp Hack Timeline

Aanpassen van privacy-instellingen

Door de hierboven vermelde API-calls in een loop te gebruiken wist Kloeze elk mogelijk telefoonnummer van een willekeurige WhatsApp-gebruiker op te vragen. De dataverzameling kan evenwel uitsluitend worden aangelegd voor gebruikers die hun privacy-instellingen niet hebben aangepast. Dit geldt dus niet voor gebruikers die hun profielfoto en statusinfo hebben verborgen.

Leave your thought here

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *