Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Chats eenvoudig af te luisteren door WhatsApp-lek

Door: | 10 september 2012 16:23

None
Apps & Software

Het verkeer tussen WhatsApp-contactpersonen is kinderlijk eenvoudig te onderscheppen omdat het protocol is beveiligd met telefoongegevens die vrij simpel te bemachtigen zijn.

Een onlangs gepubliceerde manier om WhatsApp te pownen maakt het kinderspel om communicatie tussen gebruikers op te vangen. Een proof-of-concept staat op GitHub en zo zouden mensen al in staat zijn om doodleuk berichten op te vangen of zelfs namens iemand berichten te versturen.

IMEI uitlezen

WhatsApp gebruikt voor zijn authenticatieprotocol het IMEI-nummer van de telefoon als wachtwoord. Ter 'beveiliging' is dit nummer omgedraaid en verwerkt in een eenvoudig te kraken md5-hash, zo meldt ontwikkelaar Sam Granger op zijn weblog. Met het telefoonnummer en de sleutel kan er worden ingelogd op de aangepaste XMPP-server waar de chatdienst gebruik van maakt.

Binnen Android is de IMEI door apps van derden uit te lezen en dat maakt het lek makkelijker te misbruiken. Granger stelt dat Whatsapp waarschijnlijk ook op andere platforms vatbaar is voor deze methode. Hij gebruikt ter illustratie Android omdat via de TelephonyManager de IMEI en het 06 te verkrijgen zijn.

Kinderspel

"Het is kinderspel om dit in de praktijk toe te passen", vertelt Android-ontwikkelaar Mathijs Vogelzang aan Webwereld. Het onderscheppen van verkeer via deze methode is nu nog niet voor iedereen weggelegd, maar het is eenvoudig om de benodigde gegevens te bemachtigen. "Het is niet moeilijk om een app te maken die de telefoonmanager uitleest", aldus Vogelzang.

Er zijn al ontwikkelaars die deze methode in het wild toepassen. Op GitHub is bijvoorbeeld een PoC van de Bahreinse ontwikkelaarsploeg Venomous0x te vinden. "We hebben een aangepaste versie op een Tornado webserver getest en dat draaide prima", stellen de makers op GitHub.

Onversleutelde berichten

Het is niet de eerste keer dat de veiligheid van WhatsApp te wensen overlaat. Eerder dit jaar bleken onverlaten dankzij de gebrekkige authenticatie de statusberichten van willekeurige gebruikers aan te kunnen passen.

WhatsApp verstuurde in het verleden berichten zelfs onversleuteld over en weer, wat het boosdoeners wel heel erg makkelijk maakte om berichten op te vangen. Pas vorige maand kondigde de dienst aan berichten voortaan te versleutelen.

Een vorig jaar uitgebrachte app demonstreerde aan de wereld hoe onveilig de chatdienst wel niet was door iedereen de mogelijkheid te geven WhatsApp af te luisteren. En ook vorig jaar waarschuwde de AIVD om WhatsApp niet te gebruiken voor overheidscommunicatie.

Bron: Webwereld.nl

1 Reacties op: Chats eenvoudig af te luisteren door WhatsApp-lek

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • 3 jaren, 7 maanden geleden
    Als je gewoon een (ik zeg niet welke) programma download heb je geen last meer van de meeste inbraken. behalve als je een goede inbreker bent (hacker), dan kun je overal in (met een lange lus bijv.). En je hebt een programma waarmee je kunt zien wanneer ze jou kunnen zien. Zelf ben ik eigenlijk geen hacker maar met wat zoeken op internet kun je hier ook aan komen. Ik hoop dat jullie hier wat verder mee komen.
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.