WhatsApp fixt deel van lek dat besturingssysteem gebruiker onthult

WhatsApp heeft een deel van een lek gefixt, waarmee aanvallers erachter konden komen op welk besturingssysteem een gebruiker zit. Dat is van belang voor aanvallers om de juiste exploit naar een apparaat te sturen. Die exploit blijft vooralsnog mogelijk.

De fix houdt in dat de gesigneerde pre-key, waarvan elk apparaat er telkens eentje heeft, nu volledig willekeurig is op Android. Dat was al zo op iOS, meldt beveiligingsonderzoeker Tal Be'ery. Daardoor is daaraan niet langer af te lezen welk besturingssysteem op een apparaat draait. Bij de eenmalige pre-keys die per chat verschillen, is dat wel nog steeds af te lezen. Daarmee is het lek nog niet volledig gedicht.

WhatsApps moederbedrijf Meta heeft het lek geen CVE-nummer meegegeven en reikt geen beloning uit voor het vinden van het lek. Ook heeft het de onderzoekers niet laten weten dat het een deel van het lek heeft gerepareerd. Waarom dat zo is, heeft het bedrijf niet gezegd.

WhatsApp-fix voor device fingerprinting

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 06-01-2026 16:00
20 • submitter: Anonymoussaurus

06-01-2026 • 16:00

20

Submitter: Anonymoussaurus

Lees meer

Voormalig hoofd security WhatsApp start rechtszaak om vermeend beveiligingslek
Voormalig hoofd security WhatsApp start rechtszaak om vermeend beveiligingslek Nieuws van 10 september 2025
WhatsApp fixt zeroday die gebruikt werd om iPhones te infecteren met malware
WhatsApp fixt zeroday die gebruikt werd om iPhones te infecteren met malware Nieuws van 31 augustus 2025
Meta AI voegt waarschuwing toe aan app als gebruikers prompts publiek posten
Meta AI voegt waarschuwing toe aan app als gebruikers prompts publiek posten Nieuws van 17 juni 2025
Smartphones Beveiliging en antivirus Whatsapp

Reacties (20)

-Moderatie-faq
20
20
11
1
0
5
Wijzig sortering

Sorteer op:

Weergave:
Martijn28405 6 januari 2026 16:42
Hoe kan je nou geen beloning aan de persoon geven die het gevonden heeft? Ik weet dat het niet verplicht is, maar het zou wel op zijn plaats zijn voor zo'n soort lek
Reageer
HakanX @Martijn284056 januari 2026 17:03
Volgende keer gaan die gewoon naar de zwarte markt. Eigen schuld.
Reageer
Ulster Seedling @Martijn284056 januari 2026 18:54
Het enige wat dit lek blootgaf is of je iOS, Android, of WhatsApp Web gebruikt. Dat lijkt me niet bepaald ernstig — het is geen privacygevoelige informatie, of op een andere manier een groot geheim of gevaar.

Zoals in het artikel vermeld kan deze informatie natuurlijk gebruikt worden om middels andere lekken een aanval te doen. Dus mooi dat het verholpen is.

Maar ik kan wel begrijpen dat dit als niet-ernstig geclassificeerd wordt, en er dus geen (grote) beloning tegenover staat.
Reageer
necessaryevil @Ulster Seedling7 januari 2026 01:51
De titel:
[quote/]
WhatsApp heeft een deel van een lek gefixt, waarmee aanvallers erachter konden komen op welk besturingssysteem een gebruiker zit. Dat is van belang voor aanvallers om de juiste exploit naar een apparaat te sturen. Die exploit blijft vooralsnog mogelijk.
[/quote]
Blijkbaar kunnen aanvallers een volgende stap zetten en een andere exploit benutten als ze je OS weten. Wat die andere exploit inhoud wordt niet verteld. Het lijkt me zaak dat ze die dichten, want ik zou zeggen dat een aanvaller ook kan gokken welk OS je hebt.... En ik lees dat ze het OS alsnog op een andere manier kunnen achterhalen.
Reageer
JairSterre 6 januari 2026 16:04
Leuk diagram onderaan, daar mogen er wel meer van verschijnen.
Reageer
jorisvergeerTBA @JairSterre6 januari 2026 16:11
Leuk maar wel AI gegenereerd.
Met NotebookLM zo te zien.
Reageer
JairSterre @jorisvergeerTBA6 januari 2026 16:15
Dat is in de basis niet slecht, toch? AI is gemaakt(in dit geval) om content te genereren. Als dat het(zoals hierboven) foutloos doet, dan werkt het naar behoren. Ik ga ook geen foto's afkeuren die met photoshop bewerkt zijn(tenzij ik daar specifiek om vraag natuurlijk)
Reageer
PureTryOut @JairSterre6 januari 2026 16:34
Zolang het de hoeveelheid stroom en water gebruikt dat het op dit moment doet is dat zeer zeker slecht. Alsof klimaatverandering niet al genoeg een probleem is...
Reageer
Ricco02 @PureTryOut6 januari 2026 16:37
Maar je hebt geen idee welke stroombron NoteBookLM specifiek voor deze generatie heeft gebruikt. Kan net zo goed alleen zonne energie zijn, of kernenergie of combinatie van beiden. Wat dus groene energie is.

Water komt weer terug de natuur in. Het water wat gebruikt word voor AI is niet drinkbaar, dus om nou te zeggen dat mensen ervan konden drinken klopt ook niet.

[Reactie gewijzigd door Ricco02 op 6 januari 2026 16:43]

Reageer
LordSinclair @Ricco026 januari 2026 16:57
Maar die bron is niet meer door iemand anders te gebruiken. Zolang wij geen overschot hebben op groene energie zal er grijs worden bijgemaakt.
Reageer
Ricco02 @LordSinclair6 januari 2026 17:43
Klopt, maar dan moet niet de reactie “minder AI” zijn.

De reactie moet “meer groene energie” zijn.

Ik denk namelijk dat technologische vooruitgang (waar AI ook onderdeel van is) ons uiteindelijk dichterbij een groenere wereld kan brengen. Ik denk juist dat als je innovatie tegen gaat (tegen bijvoorbeeld AI) je juist indirect de stappen naar groenere energie lastiger maakt.

Dan zal je denken “wat heeft dit met deze afbeelding te maken?” niks direct. Maar als we met ze alle roepen “AI is verspilling” etc. breng je dat sentiment wel de wereld in. Terwijl ik denk dat AI voor heel veel goeie dingen kan zorgen. Zoals innovatie in groene energie.

[Reactie gewijzigd door Ricco02 op 6 januari 2026 17:48]

Reageer
R_Zwart @PureTryOut6 januari 2026 18:57
Hoeveel energie kost het als je zo'n plaatje als hierboven met de hand gaat maken? Inclusief informatie verzamelen e.d. Omdat het best wel veel tijd kost maken we het niet zoveel, maar als we AI ook wat selectiever gaan gebruiken wordt het energieverbruik een stuk lager.
Reageer
chris1508 @R_Zwart7 januari 2026 06:50
Dan ook weer tegen de afweging, gaan we niet allemaal veel meer plaatjes genereren omdat het ons zelf zoveel tijd kost?

Dus 1 afbeelding door AI gemaakt wil niet zeggen dat we ook direct een afbeelding zelf maken doordat het onszelf meer eigen tijd en energie kost.
Reageer
GertMenkel
@JairSterre7 januari 2026 01:34
"Foutloos" is relatief, het diagram doet vermoeden dat dezelfde (groene) sleutel op Android gebruikt wordt terwijl ze het algoritme omgegooid hebben. Geef hem dan een andere kleur, of beter nog, maak een voor en na-tabel, nu zeggen die plaatjes van die sleutels nog niks. De titel (The good, the bad, the ugly) wordt niet maar half gereflecteerd in de koppen boven de paragrafen die eronder staan, met kwalificaties die alleen in de tekst worden uitgelegd; alsof iemand een pakkende titel gekopieerd heeft zonder zelf door te hebben waarom die titel nou pakkend is. Leuke plaatjes, maar inhoudelijk weinig beter dan wat ik van de middelbare zou verwachten.

Ordinaire AI-slop heeft wat mij betreft geen plaats op een nieuwssite. Zet die troep maar op je blogpost, als ik je artikel matig in een afbeelding wil samenvatten kan ik hem net zo goed zelf door Gemini heen gooien.

[Reactie gewijzigd door GertMenkel op 7 januari 2026 01:47]

Reageer
Ryen 6 januari 2026 16:52
Hier hadden we toch blauwe en groene vinkjes voor? :)
Reageer
William_H @Ryen7 januari 2026 02:10
Het is geen iMessege.
Reageer
Lieftalig 6 januari 2026 16:33
Prima dat dit ontdekt is en gefixt. Toch gek dat dit bij een bedrijf als WhatsApp zelfs het geval is. Zal bij andere dan toch helemaal een probleem zijn.
Reageer
Tim147_ @Lieftalig6 januari 2026 16:41
Zo gek is het niet dat het gebeurd. Wat wel gek is, is dat er geen beloning voor is uitgereikt en dat er geen CVE nummer is.
Reageer
GertMenkel
@Tim147_7 januari 2026 01:45
Je telefoon stuurt je modelnummer het netwerk op zodra je iemand belt. Je telefoon registreert zo'n beetje standaard óf Google RCS óf iMessage. Je telefoon reageert anders op SMS-afleververzoeken, class 0 SMS'jes, en andere netwerksignalen. Met een beetje AI-model kun je aan de publieke WhatsApp-profielfoto ook wel achterhalen of die op iOS of Android gecomprimeerd is.

Erachter komen of je Android of iOS gebruikt is op zoveel manieren mogelijk dat ik zoiets eigenlijk geen kwetsbaarheid kan noemen.

Deze aanvallen zijn daarnaast eenvoudig te monitoren aan de serverkant en in theorie zelfs aan de clientkant als je verkeer kunt monitoren op het versturen van nieuwe pre-keys, omdat er in één klap 800 sleutels worden verspild om de aanval mogelijk te maken.

Ik vind het maar een storm in een glas water. Niet heel netjes dat je zo eenvoudig kunt zien hoeveel en wat voor apparaten je gekoppeld hebt, maar of dit nu een CVE waardig is?
Reageer
Webgnome @Lieftalig6 januari 2026 16:39
waarom is dit gek? Waar mensen aan het werk zijn worden nu eenmaal fouten gemaakt. Echt elk stuk software kan in potentie een lek bevatten. Dat staat compleet los van, m.i., het bedrijf er achter.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq