Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

WhatsApp lekt 06-nummers en chatberichten

Door: | 19 mei 2011 11:25

None
Apple

Het is relatief eenvoudig om gegevens van het populaire sms-alternatief WhatsApp af te luisteren. Het lijkt het alsof de dienst https gebruikt, maar dat is niet zo. WhatsApp onderzoekt het lek.

WhatsApp verstuurt namen van gebruikers, telefoonnummers en zelfs hele chatberichten onversleuteld het internet over. De sms-vervanger is daardoor eenvoudig af te luisteren door iemand die een netwerk sniffer gebruikt, zo tipt een lezer aan Webwereld. Hij kwam achter deze gegevens toen hij wilde uitzoeken wat KPN met DPI van zijn WhatsApp-gebruik kon zien.

Niet echt gecodeerd

Webwereld kan de bevindingen van deze lezer, die anoniem wil blijven, reproduceren. Met een tool als WireShark, die al het netwerkverkeer op één netwerk logt, is het verkeer eenvoudig af te luisteren voor wie het IP-adres van de WhatsApp-server weet. Dat verkeer lijkt in eerste instantie versleuteld met https.

Toch is dat maar schijn. Het verkeer gaat wel over poort 443, die gereserveerd is voor https, maar blijkt niet gecodeerd. Zo is duidelijk te zien wat het telefoonnummer van de gebruiker is (met internationaal toegangsnummer en zonder nul), met wie die aan het chatten is en ook wat het mobiele telefoonnummer van de gesprekspartner is.

Chatberichten door de ether

Het gegevenslek van WhatsApp gaat echter verder dan dat. Ook de tekst van verzonden en ontvangen chatberichten zelf blijkt namelijk in plain text over het internet verzonden te worden. Een kwaadwillende die in het netwerk zit te roeren kan zo eenvoudig namen, telefoonnummers en mogelijk gevoelige berichten zien. Samenvoegen is bij ontvangen berichten zelfs niet nodig, daar wordt de gebruikersnaam en het telefoonnummer in herhaald.

Dat geldt alleen als een aanvaller ook op hetzelfde draadloze netwerk als een gebruiker van WhatsApp zit. Dat netwerk moet bovendien onbeveiligd zijn. In een vertrouwde omgeving is de kans dat een kwaadwillende iemand afluistert erg klein. Wie werkt op een hotspot op bijvoorbeeld een treinstation of in een café is wel zeer vatbaar voor zo’n aanval.

Kwaadaardige tweelingbroer

Ook met behulp van een ‘evil twin’, een malafide WiFi-netwerk met de naam van een bonafide netwerk, kan een kwaadwillende deze aanval uitvoeren. Hij moet dan overigens wel de pakketten doorsturen naar internet. De gebruiker kan anders in eerste instantie namelijk geen contact maken met de server van de chatapplicatie.

Webwerelds tipgever heeft geen idee waarom WhatsApp de pakketten in SSL verpakt maar alle gegevens dan toch nog plain text vertstuurt. Hij vermoed dat de makers het zo hebben gedaan omdat WhatsApp het XMPP protocol gebruikt.” Maar dat is nog geen excuus. Van een applicatie die in 2010 is opgezet mag je verwachten dat het encrypted is”, stelt hij.

WhatsApp doet onderzoek

WhatsApp laat in een reactie aan Webwereld weten dat het bedrijf "sterk gelooft in privacy en vrijheid van haar gebruikers". WhatsApp zegt het probleem te gaan onderzoeken en wil er op dit moment verder geen commentaar op leveren. Aan tipgever "Quirinius" stelt het bedrijf echter dat het op de onderliggende netwerken vertrouwt voor encryptie. Zelf versleutelen zou niet nodig zijn, omdat het bedrijf zelf geen contactgegevens of gesprekken opslaat.

Bron: Webwereld.nl

0 Reacties op: WhatsApp lekt 06-nummers en chatberichten

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.