Nederlander toont opnieuw kwetsbaarheden WhatsApp-encryptie aan
De Nederlandse informaticastudent Thijs Alkemade is erin geslaagd om de encryptie van WhatsApp te doorbreken. Door gaten in de beveiliging van WhatsApp kun je er niet vanuit gaan dat ze veilig zijn. Berichten worden versleuteld, maar voor ingaande en uitgaande berichten wordt dezelfde rc4-encryptiesleutel gebruikt. Daardoor kan een deel van de inhoud van berichten worden achterhaald. Je achterhaalt niet de sleutel zelf, maar kunt wel voldoende van een bericht ontsleutelen om te ontdekken waar het over gaat. Alkemade is hoofdontwikkelaar van het chatprogramma Adium. Hij begrijpt niet waarom WhatsApp geen oplossing zoals tls gebruikt, maar een eigen oplossing heeft gebouwd. “Je zou moeten aannemen dat iedereen die er voldoende tijd in steekt, je WhatsApp-communicatie kan onderscheppen”, schrijft Alkemade in een blogposting.
WhatsApp had al veel vaker problemen met de beveiliging van de berichten. In de begindagen versleutelde WhatsApp de berichten helemaal niet, zodat ze gemakkelijk te onderscheppen waren, bijvoorbeeld via hotspots in café’s. Nadat encryptie werd toegevoegd bleek dat de iOS-app een gemakkelijk te raden gegeven (het MAC-adres) gebruikte als encryptiesleutel. Op Android-toestellen werd een ander gemakkelijk te achterhalen gegeven gebruikt als encryptiesleutel: het IMEI-nummer van de telefoon.
Ook nu worden er volgens Alkemade nog meerdere fouten gemaakt, zoals het gebruik van dezelfde HMAC-sleutel. Dit is de code die wordt gebruikt om de authenticiteit van berichten vast te stellen. Dezelfde sleutel wordt hergebruikt die eerder al voor de rc4-encryptie was toegepast. Het is onduidelijk of een aanvaller dit kan misbruiken, maar het was slimmer geweest als WhatsApp een andere sleutel had gebruikt en een teller had toegepast. Gebruikers kunnen weinig doen tegen de kwetsbaarheden, behalve het overstappen naar andere chatapps of hopen dat niemand jouw conversaties interessant genoeg vindt om er veel tijd in te steken. Alternatieve chatapps vind je via de link onderaan dit artikel.
Alkemade gebruikte de open source Yowsup-implementatie in plaats van een officiële WhatsApp-client om de kwetsbaarheden aan te tonen. Of ook de officiële WhatsApps te misbruiken zijn, is afhankelijk van de voorspelbaarheid van de communicatie. Alkemade verwacht dat de communicatie deels te voorspellen is, zoals het aanmelden bij een server. De gewone gebruiker lijkt zich ondanks herhaaldelijke ‘schandaaltjes’ niet echt druk te maken om de kwetsbaarheden van WhatsApp. Die lijkt vooral geïnteresseerd hoe WhatsApp er in iOS 7-stijl uit komt te zien.
Eerdere berichten over de WhatsApp-beveiliging:
- WhatsApp nog steeds onveilig
- WhatsApp-status van andere gebruikers nog steeds te veranderen
- WhatsApp op iPhone eenvoudig af te luisteren via MAC-adres
- WhatsApp-berichten en 06-nummers gemakkelijk te onderscheppen
- Accountkaping in WhatsApp via nieuw ontdekt lek
Lees ook: 10 populaire iOS-apps voor messaging en chatten.
Via: Security.nl
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
WhatsApp is de populaire berichtendienst, die bijna iedere Nederlander op zijn of haar smartphone heeft staan. Hier vind je alles over WhatsApp op een rijtje: van berichten verwijderen, gesprekken archiveren, je privacy goed instellen en op de desktop gebruiken tot de betekenis van de gekleurde vinkjes, groepsgesprekken voeren en een hele WhatsApp-community opzetten. Check ook de beste WhatsApp-tips.
- Alles over WhatsApp op de iPhone
- Het ultieme WhatsApp tipsoverzicht
- Zo gebruik je WhatsApp op de desktop
- Zo gebruik je WhatsApp op de iPad
- WhatsApp-account beveiligen met tweestaps
- WhatsApp chats archiveren, wissen of verwijderen
- WhatsApp gesprekken overzetten
- WhatsApp-chats exporteren
- Ongewenste personen blokkeren in WhatsApp
- Werkt WhatsApp nog op mijn (oudere) iPhone?
- WhatsApp beveiligen op 4 manieren
Ook interessant
Zo zie je wie jouw WhatsApp-groepsbericht heeft gelezen (en wie niet)
Nieuwe opties voor tekstopmaak en lettertypes in WhatsApp: zo gebruik je ze
WhatsApp laat je eindelijk foto’s en video’s in originele kwaliteit versturen
Een andere profielfoto tonen aan mensen die je niet kent? Het kan straks op WhatsApp
Werk en privé op één iPhone: WhatsApp krijgt ondersteuning voor meerdere accounts
WhatsApp laat je je scherm delen tijdens videobellen
Reacties: 24 reacties