WhatsApp-berichten en 06-nummers gemakkelijk te onderscheppen

Het blijkt gemakkelijk om gegevens van de chatapplicatie WhatsApp te onderscheppen. WhatsApp verstuurt gebruikersnamen, telefoonnummers en chatberichten onversleuteld over internet en is daardoor gemakkelijk af te luisteren met een netwerksniffer zoals WireShark, zo schrijft Webwereld. De app wekt de indruk dat het SSL-versleuteling gebruikt, maar dat is niet zo. Een gebruiker kwam hierachter, toen hij probeerde te onderzoeken wat KPN met DPI kan zien, als iemand WhatsApp gebruikt. De messengerdienst is al bezig om het lek te onderzoeken.

Een nuancering is overigens wel op z’n plaats, want ook e-mail gaat onversleuteld over het netwerk en is met tools als WireShark net zo gemakkelijk af te vangen. Wat gebruikers echter op het verkeerde been zet, is dat WhatsApp de indruk wekt dat het berichtenverkeer beveiligd is. Op hun website noemen ze expliciet de SSL-beveiliging. Maar in de praktijk blijkt de implementatie daarvan maar half gedaan. Wie het IP-adres van de WhatsApp-server weet kan het verkeer afluisteren, waarbij de indruk wordt gewekt dat de gegevens versleuteld zijn met https. Maar dat is niet zo: de dienst gebruikt wel poort 443 die bedoeld is voor https, maar verzendt de berichten niet-gecodeerd. De telefoonnummers van gebruiker en gesprekspartner zijn daardoor duidelijk te zien. Ook de tekst van verzonden en ontvangen chatberichten wordt in platte tekst over internet verzonden. In de berichten is steeds gebruikersnaam en telefoonnummer opgenomen, zodat het reconstrueren van een chatgesprek gemakkelijk te doen is.

Hoe erg is deze ontdekking nu? In feite is het niets nieuws ten opzichte van eerdere constateringen dat internetverkeer gemakkelijk te onderscheppen is als je op een onbeveiligd netwerk zit. Het advies is dan ook, om niet zomaar gebruik te maken van ‘open’ hotspots die je onderweg tegenkomt of die in café’s of op stations worden aangeboden. Op je eigen netwerk thuis of op het werk is de kans klein dat er een kwaadwillende op je netwerk is aangemeld, die jouw chatverkeer wil afluisteren.

Alternatieven: Skype, KIK Messenger of eBuddy XMS?

WhatsApp heeft aangegeven dat ze de zaak aan het onderzoeken zijn. Ben je bang dat je WhatsApp-berichten of je telefoonnummer in verkeerde handen valt, dan kun je tijdelijk overstappen op een alternatieve messenger. Bij Skype zijn berichten standaard met 256-bit AES-encryptie versleuteld. De onlangs besproken app KIK Messenger noemt als pluspunt dat ze SSL-versleuteling toepassen, maar we hebben nog niet kunnen vaststellen of het daarbij om échte versleuteling gaat, of dat ze net als WhatsApp voor de oppervlakkige variant hebben gekozen. Daarmee bedoelen we, dat ze door gebruik van https-poort 443 wel de indruk wekken dat de berichten beveiligd zijn, maar alles toch onversleuteld over internet sturen. WhatsApp en KIK Messenger noemen allebei SSL-versleuteling op hun website, maar zoals bij WhatsApp nu is gebleken, heeft die garantie niet veel om het lijf. Voorlopig lijkt Skype daarom een betere keuze. Bij de Nederlandse app eBuddy XMS is voor ons nog onduidelijk hoe de beveiliging daadwerkelijk is geregeld. Later vandaag lees je in een interview dat iPhoneclub had met de makers van eBuddy XMS, hoe het met de beveiliging van dit Nederlandse initiatief is gesteld.