WhatsApp-berichten en 06-nummers gemakkelijk te onderscheppen

Berichten van WhatsApp zijn gemakkelijk te onderscheppen, blijkt uit een artikel van Webwereld. WhatsApp wekt de indruk dat alles beveiligd is, maar dat blijkt niet het geval.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

whatsappHet blijkt gemakkelijk om gegevens van de chatapplicatie WhatsApp te onderscheppen. WhatsApp verstuurt gebruikersnamen, telefoonnummers en chatberichten onversleuteld over internet en is daardoor gemakkelijk af te luisteren met een netwerksniffer zoals WireShark, zo schrijft Webwereld. De app wekt de indruk dat het SSL-versleuteling gebruikt, maar dat is niet zo. Een gebruiker kwam hierachter, toen hij probeerde te onderzoeken wat KPN met DPI kan zien, als iemand WhatsApp gebruikt. De messengerdienst is al bezig om het lek te onderzoeken.


Een nuancering is overigens wel op z’n plaats, want ook e-mail gaat onversleuteld over het netwerk en is met tools als WireShark net zo gemakkelijk af te vangen. Wat gebruikers echter op het verkeerde been zet, is dat WhatsApp de indruk wekt dat het berichtenverkeer beveiligd is. Op hun website noemen ze expliciet de SSL-beveiliging. Maar in de praktijk blijkt de implementatie daarvan maar half gedaan. Wie het IP-adres van de WhatsApp-server weet kan het verkeer afluisteren, waarbij de indruk wordt gewekt dat de gegevens versleuteld zijn met https. Maar dat is niet zo: de dienst gebruikt wel poort 443 die bedoeld is voor https, maar verzendt de berichten niet-gecodeerd. De telefoonnummers van gebruiker en gesprekspartner zijn daardoor duidelijk te zien. Ook de tekst van verzonden en ontvangen chatberichten wordt in platte tekst over internet verzonden. In de berichten is steeds gebruikersnaam en telefoonnummer opgenomen, zodat het reconstrueren van een chatgesprek gemakkelijk te doen is.

Hoe erg is deze ontdekking nu? In feite is het niets nieuws ten opzichte van eerdere constateringen dat internetverkeer gemakkelijk te onderscheppen is als je op een onbeveiligd netwerk zit. Het advies is dan ook, om niet zomaar gebruik te maken van ‘open’ hotspots die je onderweg tegenkomt of die in café’s of op stations worden aangeboden. Op je eigen netwerk thuis of op het werk is de kans klein dat er een kwaadwillende op je netwerk is aangemeld, die jouw chatverkeer wil afluisteren.

Alternatieven: Skype, KIK Messenger of eBuddy XMS?

WhatsApp heeft aangegeven dat ze de zaak aan het onderzoeken zijn. Ben je bang dat je WhatsApp-berichten of je telefoonnummer in verkeerde handen valt, dan kun je tijdelijk overstappen op een alternatieve messenger. Bij Skype zijn berichten standaard met 256-bit AES-encryptie versleuteld. De onlangs besproken app KIK Messenger noemt als pluspunt dat ze SSL-versleuteling toepassen, maar we hebben nog niet kunnen vaststellen of het daarbij om échte versleuteling gaat, of dat ze net als WhatsApp voor de oppervlakkige variant hebben gekozen. Daarmee bedoelen we, dat ze door gebruik van https-poort 443 wel de indruk wekken dat de berichten beveiligd zijn, maar alles toch onversleuteld over internet sturen. WhatsApp en KIK Messenger noemen allebei SSL-versleuteling op hun website, maar zoals bij WhatsApp nu is gebleken, heeft die garantie niet veel om het lijf. Voorlopig lijkt Skype daarom een betere keuze. Bij de Nederlandse app eBuddy XMS is voor ons nog onduidelijk hoe de beveiliging daadwerkelijk is geregeld. Later vandaag lees je in een interview dat iPhoneclub had met de makers van eBuddy XMS, hoe het met de beveiliging van dit Nederlandse initiatief is gesteld.

WhatsApp

WhatsApp is de populaire berichtendienst, die bijna iedere Nederlander op zijn of haar smartphone heeft staan. Hier vind je alles over WhatsApp op een rijtje: van berichten verwijderen, gesprekken archiveren, je privacy goed instellen en op de desktop gebruiken tot de betekenis van de gekleurde vinkjes, groepsgesprekken voeren en een hele WhatsApp-community opzetten. Check ook de beste WhatsApp-tips.

WhatsApp donkere modus.

Reacties: 25 reacties

  1. En wat als je op ’t 3g netwerk zit ?

  2. Goed om te weten. Ik wist niet dat WhatsApp Inc. pretendeerde dat WhatsApp secure zou zijn. Maar wellicht zullen ze nu de aanpassing gaan doen? Dit zal wel een investering van hun kant vergen maar met de populariteit van WhatsApp moet dat geen probleem zijn denk ik.

  3. Origineel geplaatst door Tristan
    En wat als je op ‘t 3g netwerk zit ?

    nagenoeg onmogelijk. tenzij je KPN bent en DPI gaat doen natuurlijk….

  4. @Tristan: De 3g verbinding is de toegangspoort tot het internet. maw, het 3G netwerk (of beter gezegd: het netwerk van de telcom) geeft je een verbinding tot het internet.

    Het berichtje gaat dus van je mobiel draadloos naar het netwerk van de telcom, die stuurt het door naar het internet die het weer door stuurt naar een ander telcom netwerk waar de ontvanger zit, en die zend het weer door via het mobiele netwerk naar de mobiele telefoon.

    Het grote misverstand is dat telcoms internet aanbieden, maar inweze doen ze dat niet, ze geven je toegang tot het internet.

    Internet is van iedereen en gratis namelijk.

  5. Weet je. het gaat er niet om of het mogelijk is om de pakketjes te snuffelen of niet omdat het gecrypt is.

    Het gaat er om dat een bedrijf als KPN dit doet uit financiele overwegingen en daar een oordeel en dus gevolg voor de klant aan bind.

    Het gaat niet of het KAN, maar of het MAG door een commercieel bedrijf.

    Wij als consumenten MOGEN geen software kopieren.

    Maar het KAN wel..

    Dat is het verschil…

    Zou me niets verbazen als dit nieuwsbericht uit de catacomben van KPN en consorten zelf het internet op geslingerd worden om de consumenten in de war te brengen.

    Consumenten zijn over het algemeen erg dom en beïnvloedbaar…

  6. Wat boeit het mij als mensen mijn berichten lezen?

  7. Het advies is dan ook, om niet zomaar gebruik te maken van ‘open’ hotspots die je onderweg tegenkomt of die in café’s of op stations worden aangeboden.

    Doe alsjeblieft normaal man! HOE groot is de kans dat JIJ in een cafe zit, en tegelijkertijd IEMAND met een afluisterprogramma, zoekt naar berichten van whatsapp, en JIJ tegelijkertijd een bericht stuurt met daarin belangrijke gegevens die niemand mag hebben?

    Ik denk dat de kans gelijk is aan miljonair worden bij de vriendenloterij. De hoofdprijs is namelijk 100.000 euro.

  8. Origineel geplaatst door lempoenanana
    Wat boeit het mij als mensen mijn berichten lezen?

    Door zo’n nonchalante houding als de jouwe gebeuren er vaak ongelukken of ontstaan problemen die later pas naar voren komen.

    Er is altijd een of soms meerderen die de dupe worden van een lek ergens om daar vervolgens op een harde manier achter te moeten komen.

    Je zou blij moeten zijn dat iemand hier achter gekomen is. Het feit dat iemand jouw telefoonnummer heeft, je wachtwoord, je berichten, foto’s en locatieinfo, zou je moeten doen beseffen dat deze info voor bepaalde partijen zeer interessant is. Als jij vervolgens gestalked wordt door bedrijven zou je dit vermoedelijk niet prettig vinden. Maar ach, misschien boeit dat je eigenlijk ook niets.

  9. Wie het IP-adres van de WhatsApp-server weet kan het verkeer afluisteren

    Nou, zo makkelijk is dat nu ook weer niet. Het is dus nog wat genuanceerder. Om dergelijke informatie te kunnen onderscheppen, zul je op de server of eindverbinding van WhatsApp moeten zitten of ergens in de verbinding tussen je telefoon en WhatsApp. De zogenaamde Man-in-the-middle. KPN is met DPI een Man-in-the-middle omdat al het verkeer naar het internet via hun centrale systemen gaat. Maar van iemand op het Vodafone netwerk, kan KPN geen data onderscheppen (nou ja, dat kunnen ze wel maar zou illegaal zijn). Via WiFi kun je alles in de buurt snifferen maar alleen op onbeveiligde netwerken. Anders zul je eerst veel moeite moeten doen de encryptiesleutel te achterhalen.

    En steeds meer providers stappen ook over op POPS en SMTPS. Het emailverkeer via POP3 en SMTP gaat dan ook via een SSL-verbinding.

  10. @käse: heb je wel eens gekeken naar de Wi-Fi netwerken op een station of op een vliegveld? Wie denk je dat daar “Free Open Wi-Fi” aanbiedt? Waarom denk je dat ze dat doen?

  11. Het is mij nu nog steeds niet duidelijk of de berichten die verstuurd worden via je provider. Ook te onderscheppen zijn???

  12. @Misterrr: door Jan en alleman: nee. Door je provider: ja.

  13. Een lek opsporen is net zo belangrijk als het dichten. De magneet strip op onze betaalkaart is net zo veilig als de chip die er tegenwoordig op geplakt wordt. Onderzoek en openheid in dit soort zaken is zeer belangrijk.

  14. Kik Messenger is al eens aan de tand gevoeld en hebben hierna meteen een complete versleuteling toegevoegd. Alleen de app kan het bericht dus nog decoderen. Dat is ook de reden geweest dat Kik nu niet meer op de Blackberry te krijgen is, gewoon omdat het een concurrent is van RIM’s eigen service. Toch gebruik ik nu al ruim een maand Kik. M’n vrienden hebben toch allemaal een iPhone of een Android. 😉

  15. Waarom maakt iedereen hier zich zo druk over? Mensen die puur prive gegevens over een chatlijn verturen verdienen niet beter.

    Beter zou het zijn als al die angsthazen in dit landje zich eens druk gaan maken over de echte inbreuken. Namelijk die door de overheid.

    Nederland is het land met het hoogste aantal telefoontaps in de wereld! Een piepklein landje wat nummer 1 op de ranglijst van inbreuken staat!

    Nederland is een van de zeldzame landen die zijn eigen burgers met het grootste gemak aan elk willekeurig land uitlevert. Niet alleen VS maar ook landen zonder echte rechtsspraak als Polen.

    Maak je daar eens druk over en als je dan nog tijd hebt kun je meuten over een flut programmaatje.

  16. @viermaal raden.: Maak jij je vooral druk om die zaken, ik gebruik gewoon een ander programma en leef verder.

  17. Origineel geplaatst door lempoenanana
    Wat boeit het mij als mensen mijn berichten lezen?

    Het gaat er niet om dat jij niets te verbergen hebt, maar dat je privacy geschonden wordt.

    Weet je, ten tijde van de Koude Oorlog waren wij goed en het Oostblok was slecht. Dat was lekker overzichtelijk. Een van de vele redenen waarom het Oostblok slecht was, was omdat ze het briefgeheim schonden. De geheime dienst las brieven van/aan personen die ze verdacht vonden en legde een dossier aan van ‘staatsvijandige’ opmerkingen, zoals ‘Balen, al 3 dagen geen melk kunnen krijgen.’ (= kritiek op de door staat geleide distributie van voedingsmiddelen)

    Nu zullen we hier in Nederland niet naar de goelag gestuurd worden, maar toch zou ik het vervelend vinden als iemand de verslagen van mijn erotische avonturen aan mijn ouders of aan mijn baas laat zien. Hierdoor word ik chantabel. En dat is niet de bedoeling van de leuk bedoelde verslagen.

  18. If you use a free service like whatsapp then you cant expect it to be too secure , thats what paid services offer , but if you send normal texts you dont have to worry about a thing

  19. oohhh uhhh

  20. Leuk al die mensen met meningen die niet op feiten gestoeld zijn…

  21. @Manfred. Dit is geen juiste bewering, maar dat geheel terzijde.

  22. Je moet toch wat als je geen vrienden hebt 🙂

  23. Wat ik erger vind is dat de gegevens uit je contactlijst op de server van whatsapp staan zodat het programma kan kijken/vergelijken wie uit je lijst ook whatsapp heeft.

    En daar heeft niemand het over hier…

  24. Ik heb een ander soort vraag. Ik heb een berichtje via whatsapp ontvangen. Degene van wie ik het bericht ontvangen heb, zegt het niet verstuurd te hebben. Kan een ander een bericht, via die persoon, hebben verstuurd?

  25. @adb: ja!

    Het is nog véél slechter met de beveiliging van WApp gesteld:

    Webwereld meldt:

    Accountkaping via nieuw lek in WhatsApp
    21 mei 2011, 10:48

    De beveiliging van de populaire mobiele messenger WhatsApp blijkt nog dan brakker dan gedacht. Het is eenvoudig om accounts van een ander over te nemen.

    De populaire sms-vervanger WhatsApp blijkt nog meer lekken te bevatten dan Webwereld donderdag al bevestigde. Niet alleen is het verkeer ongecodeerd en dus eenvoudig te onderscheppen, het blijkt ook zeer simpel om accounts van andere personen te kapen en hun berichten op die manier te lezen. Dat meldt het weblog GeenStijl vrijdagavond.

    (Red.) Het is niet toegestaan complete artikelen van andere websites integraal over te nemen. Bovenstaand artikel is daarom ingekort tot het noodzakelijke.