Op zijn nieuwe beveiligingsadvies-pagina maakt WhatsApp bekend zes vooraf onbekende kwetsbaarheden te hebben opgelost. De pagina moet meer transparantie bieden.
Volgens WhatsApp zijn vijf van de zes kwetsbaarheden op dezelfde dag opgelost. De laatste fout duurde een aantal dagen om te herstellen. Hoewel sommige van de bugs op afstand kon worden getriggerd, maakt WhatsApp bekend geen bewijs te hebben gevonden van hackers die actief misbruik maakten van de kwetsbaarheden.
Een derde van de kwetsbaarheden werd aangegeven via het Bug Bounty Programma van WhatsApp. WhatsApp ontdekte de andere kwetsbaarheden tijdens geplande code reviews en door het gebruik van geautomatiseerde systemen.
WhatsApp is een van ’s werelds meest populaire applicaties, met meer dan twee miljard gebruikers over de hele wereld. Dit maakt de app ook een aanhoudend doelwit voor hackers die azen op kwetsbaarheden in het platform.
Nieuwe beveiligingswebsite van WhatsApp
Om transparanter richting zijn gebruikers te zijn over kwetsbaarheden in de app en als antwoord op feedback vanuit gebruikers heeft WhatsApp zijn nieuwe beveiligingssite in het leven geroepen. Volgens WhatsApp vroeg de community om een centrale plaats waar zij kwetsbaarheden in de app kunnen bijhouden. Vanwege regels in de app store is WhatsApp niet altijd in staat om zijn beveiligingsadvies toe te voegen aan updates. Via de eigen website is dat voortaan wel mogelijk.
Het nieuwe beveiligingsdashboard wordt voortaan elke maand bijgewerkt. Wanneer WhatsApp zijn gebruikers moet waarschuwen vanwege een actieve aanval, zal er eerder een update komen. De website biedt een archief van opgeloste CVE-data die teruggaat tot 2018.
De voornaamste focus van de website ligt bij kwetsbaarheden in de WhatsApp-code. Mocht het bedrijf een CVE vinden in de code van een externe partij, zal het dat ook aanduiden via de WhatsApp Beveiligingsadvies pagina.