Accountkaping in WhatsApp via nieuw ontdekt lek
Het blijkt nog slechter gesteld met de beveiliging van WhatsApp dan aanvankelijk gedacht. Dit weekend werd bekend, dat het eenvoudig is om een account van iemand anders over te nemen. Eerder bleek al dat het berichtenverkeer onbeveiligd over internet wordt gestuurd en daardoor gemakkelijk is te onderscheppen. Nu blijkt echter, dat het ook simpel is om accounts van anderen te kapen en hun berichten te lezen.
Wanneer iemand WhatsApp op een telefoon installeert, vraagt de app om een mobiel nummer op te geven. Vul je daarbij een vals nummer in (van een andere persoon), dan blijkt het mogelijk om het verificatiemailtje dat WhatsApp stuurt, in handen te krijgen. Door de sms uit de outbox van de telefoon te kopiëren en vanaf het valse nummer naar het eigen nummer te sturen, kun je WhatsApp om de tuin leiden.
De telefoon van de kwaadwillende ontvangt alle WhatsApp-berichten van het slachtoffer. Het enige wat de kwaadwillende moet weten, is het telefoonnummer van een slachtoffer. Ook kan de kwaadwillende berichten versturen uit naam van iemand anders. Wie denkt getroffen te zijn door deze hack, kan het beste de app opnieuw installeren en opnieuw de authenticatie met een sms-bericht uitvoeren. De kwetsbaarheid geldt voor alle platformen waarop WhatsApp gebruikt kan worden. Op de iPhone geldt er nog wel een beperking, omdat de app zelf geen sms verstuurt, maar dit vanaf de server van WhatsApp laat doen. Het blijkt echter wel mogelijk om een sms’je te spoofen, zo meldt tipgever Rickey Gevers. Hij heeft op zijn weblog een uitleg geplaatst.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
WhatsApp is de populaire berichtendienst, die bijna iedere Nederlander op zijn of haar smartphone heeft staan. Hier vind je alles over WhatsApp op een rijtje: van berichten verwijderen, gesprekken archiveren, je privacy goed instellen en op de desktop gebruiken tot de betekenis van de gekleurde vinkjes, groepsgesprekken voeren en een hele WhatsApp-community opzetten. Check ook de beste WhatsApp-tips.
- Alles over WhatsApp op de iPhone
- Het ultieme WhatsApp tipsoverzicht
- Zo gebruik je WhatsApp op de desktop
- Zo gebruik je WhatsApp op de iPad
- WhatsApp-account beveiligen met tweestaps
- WhatsApp chats archiveren, wissen of verwijderen
- WhatsApp gesprekken overzetten
- WhatsApp-chats exporteren
- Ongewenste personen blokkeren in WhatsApp
- Werkt WhatsApp nog op mijn (oudere) iPhone?
- WhatsApp beveiligen op 4 manieren
Ook interessant
Overstappen van WhatsApp naar Signal? Zo doe je dat het makkelijkst
WhatsApp werkt aan nieuwe functie: reacties beter georganiseerd in threads
Zo werken de QR-codes in WhatsApp: makkelijk je nummer delen
WhatsApp werkt aan koppeling met je Instagram-profiel (smaakt dit naar meer?)
Laatst gezien- en online-status in WhatsApp voor iPhone uitschakelen
Werk en privé op één iPhone: WhatsApp krijgt binnenkort ondersteuning voor meerdere accounts
Zo dus de telecom providers zijn een tegenoffensief begonnen tegen Whatsapp e.a. om negatieve berichten de wereld in te sturen.
Maar slecht nieuws is ook nieuws.
Het klinkt alsof het makkelijk is maar zoals ik het lees heb je dan ook beide toestel nodig. Dus makkelijk? Nou volgens mij niet.
Het is inderdaad niet makkelijk maar het kan. En als het gebeurd dan kan de hacker de identiteit van het slachtoffer en al zijn berichten lezen.
Ook berichten die men al heeft ontvangen of alleen nieuwe te ontvangen berichten?
Ik vindt het prima zo….
ook zonder beveiliging.
@mr-3gs: Lees het verhaal nog eens. Hoe kun je in godsnaam al berichten ontvangen hebben als je de app voor het eerst installeert
@Miicker: ik krijg ook gewoon altijd mn berichten terug als ik een restore heb gedaan zonder backup hoor. Lijkt wel of deze gewoon opgeslagen worden op een server ofzo
Ik vraag me af wanneer whatsapp nou eens een update uitbrengt die die lekken dicht vorige week maandag was die ene lekngevonden kijk naar ebiddy xms die was er de volgende dag snel bij met een update gelijk die lek gedicht en waar blijft whatsapp volgende maand misschien ?
Typisch sinds bekend is geworden dat met name WhatsApp met zijn gratis dienst o.a KPN in de weg zit komen al deze berichten los. Houdt er rekening mee dan zijn er geen problemen toch?
De vraag is of je hier echt kan stellen dat WhatsApp lek is. Er wordt hier gebruik gemaakt van het feit dat SMS lek is. Zie ook een paar maanden geleden wat Pownews in de 2e kamer deed met SMS’jes. Het blijft natuurlijk bizar dat het mogelijk is dat je SMS kan versturen vanaf een willekeurige site en daar het nummer van iemand anders aannemen. Die fout kan je WhatsApp niet aanrekenen, dat zit toch echt bij de good old telco’s
Ze zullen de email validatie nu wel snel uitschakelen vermoed ik.
Met de vriendelijke groeten van KPN??
Ach boeien, we worden toch al aan alle kanten bekeken, ons profiel is bekend. het is al te laat
Wat een vaag verhaal is dit zeg!
Zonder fysiek de telefoon van ‘het slachtoffer’ in handen te hebben kun je niks! En… waarom dan al die moeite als je op dat moment al alles kunt lezen/bekijken?
Zet gewoon een wachtwoord/code op je telefoon en niemand kan ongewenst jouw gegevens/apps raadplegen. Isse simpel…
Een mobiel nummer is heel makkelijk te spoofen. Er zijn zat online SMS diensten waarbij je zelf een nummer kan invullen (mollie.nl bijv). Het is dus makkelijk.
@ruben: Het is niet gek dat je berichten terug komen. Er wordt gewoon een backup gemaakt op het geheugen van je iphone. Dit gebeurt ook bij de android en symbian varianten.
err, PowNews stuurde mailtjes en deden zich voor als ander kamerlid om zo telefoonnummers te bemachtigen. En verder lieten zij zien dat voicemails te kraken waren, niet sms. WhatsApp heeft verder ook niets met sms te maken, het stuurt gewoon internetberichtjed.
De kwaadwillende krijgt de telefoon van het slachtoffer in handen?
Wat is dit voor een scenario????
Maar als k het goed begrijp, merkt t slachtoffer t wel.
@Frx: Alleen als je een iPhone gebruikt om iemand te hacken. Als je Android gebruikt voor het hacken, heeft het slachtoffer het niet door. Uitleg daarover staat in het linkje dat ook in ter artikel vermeld staat.
als dit echt wil lukken. Dan moet de “slachtoffer” toch echt een tijd zijn toestel hebben moeten afgegeven. Anders kan het niet.
Toen ik mijn 3gs verkocht in afwachten op de 4 heb ik een tijd mijn ipod touch gebruikt. Ik had ook daar whatsapp op geinstalleerd en je moet een code opvragen. Dat doe je door op je mobiele nummer door te geven. Die code komt dus op de mobiel van degene die whatsapp gaat gebruiken en niet van de hacker.
Mocht het zo gaan dat die gene genoeg tijd heeft om met de mobiel van de andere te smsen voor de code en die dan op zijn toestel ingeven. Dan is het idd zo dat hij berichten kan ontvangen op zijn toestel. Maar die andere persoon ontvangt niks meer dus die zou het gauw genoeg door hebben.
Dit zijn gewoon stunts om mensen bang te maken om weer te gaan smsen!!
En dan willen ze ook nog dat we er extra voor gaan betalen.
@misterrr: Het kan wel, het is mij net ook gelukt met een android emulator ;d
Stel dat een dader achter je pc kruipt en je opgeslagen wachtwoorden uit je browser leest. Dit soort scenario’s slaan echt helemaal nergens op.
@Majestic – hoezo achter iemand zn pc kruipen?
De vraag is alleen..
Berichtjes die worden verzonden komen die dan op alletwee de telefoons aan (zowel hacker als gehackte) of alleen op de telefoon met de nieuwe installatie.
@Majestic: Maar je kan makkelijker bij iemands telefoon komen want die kan je ergens verliezen ofzo.
@zdar: Zo gebruikte ik whatsapp op een blackberry op wifi en had ik opeens 2 whatsapp nummers, gewoon zorgen dat je hem verficeerd met een ander nummer =D