Chats eenvoudig af te luisteren door WhatsApp-lek
Het verkeer tussen WhatsApp-contactpersonen is kinderlijk eenvoudig te onderscheppen omdat het protocol is beveiligd met telefoongegevens die vrij simpel te bemachtigen zijn.
Een onlangs gepubliceerde manier om WhatsApp te pownen maakt het kinderspel om communicatie tussen gebruikers op te vangen. Een proof-of-concept staat op GitHub en zo zouden mensen al in staat zijn om doodleuk berichten op te vangen of zelfs namens iemand berichten te versturen.
IMEI uitlezen
WhatsApp gebruikt voor zijn authenticatieprotocol het IMEI-nummer van de telefoon als wachtwoord. Ter 'beveiliging' is dit nummer omgedraaid en verwerkt in een eenvoudig te kraken md5-hash, zo meldt ontwikkelaar Sam Granger op zijn weblog. Met het telefoonnummer en de sleutel kan er worden ingelogd op de aangepaste XMPP-server waar de chatdienst gebruik van maakt.
Binnen Android is de IMEI door apps van derden uit te lezen en dat maakt het lek makkelijker te misbruiken. Granger stelt dat Whatsapp waarschijnlijk ook op andere platforms vatbaar is voor deze methode. Hij gebruikt ter illustratie Android omdat via de TelephonyManager de IMEI en het 06 te verkrijgen zijn.
Kinderspel
"Het is kinderspel om dit in de praktijk toe te passen", vertelt Android-ontwikkelaar Mathijs Vogelzang aan Webwereld. Het onderscheppen van verkeer via deze methode is nu nog niet voor iedereen weggelegd, maar het is eenvoudig om de benodigde gegevens te bemachtigen. "Het is niet moeilijk om een app te maken die de telefoonmanager uitleest", aldus Vogelzang.
Er zijn al ontwikkelaars die deze methode in het wild toepassen. Op GitHub is bijvoorbeeld een PoC van de Bahreinse ontwikkelaarsploeg Venomous0x te vinden. "We hebben een aangepaste versie op een Tornado webserver getest en dat draaide prima", stellen de makers op GitHub.
Onversleutelde berichten
Het is niet de eerste keer dat de veiligheid van WhatsApp te wensen overlaat. Eerder dit jaar bleken onverlaten dankzij de gebrekkige authenticatie de statusberichten van willekeurige gebruikers aan te kunnen passen.
WhatsApp verstuurde in het verleden berichten zelfs onversleuteld over en weer, wat het boosdoeners wel heel erg makkelijk maakte om berichten op te vangen. Pas vorige maand kondigde de dienst aan berichten voortaan te versleutelen.
Een vorig jaar uitgebrachte app demonstreerde aan de wereld hoe onveilig de chatdienst wel niet was door iedereen de mogelijkheid te geven WhatsApp af te luisteren. En ook vorig jaar waarschuwde de AIVD om WhatsApp niet te gebruiken voor overheidscommunicatie.
Bron: Webwereld.nl