Nederlander toont opnieuw kwetsbaarheden WhatsApp-encryptie aan

De Nederlandse informaticastudent Thijs Alkemade is erin geslaagd om de encryptie van WhatsApp te doorbreken. Door gaten in de beveiliging van WhatsApp kun je er niet vanuit gaan dat ze veilig zijn. Berichten worden versleuteld, maar voor ingaande en uitgaande berichten wordt dezelfde rc4-encryptiesleutel gebruikt. Daardoor kan een deel van de inhoud van berichten worden achterhaald. Je achterhaalt niet de sleutel zelf, maar kunt wel voldoende van een bericht ontsleutelen om te ontdekken waar het over gaat. Alkemade is hoofdontwikkelaar van het chatprogramma Adium. Hij begrijpt niet waarom WhatsApp geen oplossing zoals tls gebruikt, maar een eigen oplossing heeft gebouwd. “Je zou moeten aannemen dat iedereen die er voldoende tijd in steekt, je WhatsApp-communicatie kan onderscheppen”, schrijft Alkemade in een blogposting.

WhatsApp had al veel vaker problemen met de beveiliging van de berichten. In de begindagen versleutelde WhatsApp de berichten helemaal niet, zodat ze gemakkelijk te onderscheppen waren, bijvoorbeeld via hotspots in café’s. Nadat encryptie werd toegevoegd bleek dat de iOS-app een gemakkelijk te raden gegeven (het MAC-adres) gebruikte als encryptiesleutel. Op Android-toestellen werd een ander gemakkelijk te achterhalen gegeven gebruikt als encryptiesleutel: het IMEI-nummer van de telefoon.

Ook nu worden er volgens Alkemade nog meerdere fouten gemaakt, zoals het gebruik van dezelfde HMAC-sleutel. Dit is de code die wordt gebruikt om de authenticiteit van berichten vast te stellen. Dezelfde sleutel wordt hergebruikt die eerder al voor de rc4-encryptie was toegepast. Het is onduidelijk of een aanvaller dit kan misbruiken, maar het was slimmer geweest als WhatsApp een andere sleutel had gebruikt en een teller had toegepast. Gebruikers kunnen weinig doen tegen de kwetsbaarheden, behalve het overstappen naar andere chatapps of hopen dat niemand jouw conversaties interessant genoeg vindt om er veel tijd in te steken. Alternatieve chatapps vind je via de link onderaan dit artikel.

Alkemade gebruikte de open source Yowsup-implementatie in plaats van een officiële WhatsApp-client om de kwetsbaarheden aan te tonen. Of ook de officiële WhatsApps te misbruiken zijn, is afhankelijk van de voorspelbaarheid van de communicatie. Alkemade verwacht dat de communicatie deels te voorspellen is, zoals het aanmelden bij een server. De gewone gebruiker lijkt zich ondanks herhaaldelijke ‘schandaaltjes’ niet echt druk te maken om de kwetsbaarheden van WhatsApp. Die lijkt vooral geïnteresseerd hoe WhatsApp er in iOS 7-stijl uit komt te zien.

Eerdere berichten over de WhatsApp-beveiliging:

• WhatsApp nog steeds onveilig
• WhatsApp-status van andere gebruikers nog steeds te veranderen
• WhatsApp op iPhone eenvoudig af te luisteren via MAC-adres
• WhatsApp-berichten en 06-nummers gemakkelijk te onderscheppen
• Accountkaping in WhatsApp via nieuw ontdekt lek

Lees ook: 10 populaire iOS-apps voor messaging en chatten.

Via: Security.nl