Toen Wikileaks recent nieuws naar buiten bracht werd daarbij ook gesuggereerd dat de CIA mee zou kunnen lezen in chat-apps als WhatsApp en Telegram. Alleen is nog steeds niet helemaal duidelijk of dat is gelukt door de versleuteling van die apps te kraken (onwaarschijnlijk) of dat de mensen van de CIA mee kon lezen omdat ze de toetsaanslagen in die apps konden onderscheppen.

Dat betekent niet dat deze apps zelf onkwetsbaar zijn, in tegendeel. In dit artikel van Checkpoint Technologies is te lezen dat dit bedrijf een stevig gat gevonden heeft in de web-versie van beide apps.

this same mechanism has also been the origin of a new severe vulnerability we have discovered in both messaging services' online platform - WhatsApp Web and Telegram Web. The online version of these platforms mirror all messages sent and received by the user, and are fully synced with the users' device.

De mogelijke consequenties van het gat waren groot, zoals je hieronder kan lezen.

This vulnerability, if exploited, would have allowed attackers to completely take over users' accounts on any browser, and access victims' personal and group conversations, photos, videos and other shared files, contact lists, and more. This means that attackers could potentially download your photos and or post them online, send messages on your behalf, demand ransom, and even take over your friends' accounts.

Het goede nieuws is dat zowel WhatsApp als Telegram dit gat inmiddels gedicht hebben, en dat dit gebeurde binnen een dag nadat Check Point Software Technologies dit aan beide bedrijven meldde.

De vraag blijft natuurlijk wel open staan of een web-versie van zulke programma's eigenlijk wel een goed idee is, zeker als de beveiliging te wensen overlaat. Want dit gat werd gevonden door een bedrijf van goede wil. Maar wat gebeurt er als iemand een vergelijkbare mogelijkheid vindt om kwaad te doen, maar die daar liever geld aan verdient, of om het om een andere reden niet aan makers van de software meldt?