WhatsApp op iPhone eenvoudig af te luisteren via MAC-adres

WhatsApp blijkt op iOS makkelijk te onderscheppen. Via het MAC-adres dat met sniffers te achterhalen is, kan het wachtwoord van de app worden achterhaald.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

whatsapp icoontjeAfgelopen maandag was in het nieuws, dat het berichtenverkeer in WhatsApp voor Android gemakkelijk te onderscheppen is. De app gebruikt het omgedraaide IMEI-nummer van gebruikers als wachtwoord, zo valt op github te lezen. Beveiligingsonderzoeker Sam Granger vermoedde dat het probleem ook op andere platformen speelt. Bij iOS leek er aanvankelijk geen vuiltje aan de lucht: op iOS krijgen apps geen toegang tot het IMEI-adres.


Maar nu blijkt dat ook de iOS-versie van WhatsApp gemakkelijk is af te luisteren. De applicatie gebruikt hetzelfde mechanisme, maar berekent de MD5-hash aan de hand van het MAC-adres. Daarmee loop je misschien nog wel grotere risico’s dan bij de Android-app, omdat het MAC-adres eenvoudig te sniffen is als meerdere mensen gebruik maken van hetzelfde Wi-Fi-netwerk.

Door gebruik te maken van een tool als WireShark is het MAC-adres van de aanwezige iPhones op een netwerk te achterhalen. De iPhones zijn in het netwerkverkeer bovendien goed identificeerbaar. Vervolgens hoef je alleen nog met een MD5 te hashen. Als je niet langer met het Wi-Fi-netwerk verbonden bent, loop je nog steeds risico. De ontdekking werd gedaan door de Italiaanse onderzoeker Ezio Amodio.

WhatsApp is al eerder geplaagd door twijfels over de beveiliging. Zo bleek de app last te hebben van een bug, waarmee de status van gebruikers gemakkelijk te veranderen was. Afgelopen mei verscheen WhatsAppSniffer waarmee berichten van de Android-versie gemakkelijk af te tappen waren. Het misbruikte lek bleek al bijna een jaar aanwezig. Gelukkig was er onlangs ook goed nieuws: dankzij een update verstuurt WhatsApp nu alle berichten versleuteld (wat al snel de logische vraag opriep: ‘was dat eerder dan niet zo?’). Ook werd WhatsApp regelmatig getroffen door een hoax dat er betaald zou moeten worden voor de berichtendienst. Volgens goed kettingbrief-gebruik kon je dit onheil voorkomen door het bericht naar minimaal 10 vrienden door te sturen.

Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

WhatsApp

WhatsApp is de populaire berichtendienst, die bijna iedere Nederlander op zijn of haar smartphone heeft staan. Hier vind je alles over WhatsApp op een rijtje: van berichten verwijderen, gesprekken archiveren, je privacy goed instellen en op de desktop gebruiken tot de betekenis van de gekleurde vinkjes, groepsgesprekken voeren en een hele WhatsApp-community opzetten. Check ook de beste WhatsApp-tips.

WhatsApp donkere modus.

Ook interessant

Reacties: 20 reacties

  1. Hmm…

    uncomfortable…Dus mn mac address is dus makkelijk te achterhalen via whatsapp. Not cool..

  2. @zilli: Nee je mac address is makkelijk te achterhalen met een hele berg van tooltjes.. Ik gebruik Fing om apparaten te vinden in een draadloos netwerk ideaal.

    Het probleem zit ‘m erin dat whatsapp je mac adres gebruikt als “sleutel”.. en die is dus makkelijk door iedereen na te maken.

    Zou net zo slim zijn als je rekening nummer achterstevoren te gebruiken als pincode van je bankpasje

  3. @zilli: Nee… Je mac adres is sowieso te achterhalen als je iphone op hetzelfde wifi signaal zit. Met dit adres kan je het wachtwoord dat whatsapp gebruikt om je berichten af te schermen ontcijferen. Zo zit het volgens mij

  4. Oké naar wat nu? Is de beveiliging zo slecht dat WhatsApp er af moet?? Wie weet dat???

  5. Origineel geplaatst door zilli
    Hmm…uncomfortable…Dus mn mac address is dus makkelijk te achterhalen via whatsapp. Not cool..

    Ehm nee, via je mac address is de inhoud van je Whatsapp verkeer te achterhalen.

  6. zijn jullie gesprekken zo belangrijk en geheim dan????
    Maak mij niet heel veel uit geloof ik als iemand anders dat leest :p mja misschien mis ik iets hoor…

  7. @desiree: Niet alleen lezen, maar ook verzenden vanuit jou naam, en dat is een stuk ongemakkelijker..

    net even een half uurtje zitten klote met het scriptje, gek genoeg werkt het nog ook (buiten het feit dat de code een grote ramp is waar je eerst doorheen moet graven). vanavond thuis maar eens goed naar kijken.

  8. Origineel geplaatst door Tim
    @desiree: Niet alleen lezen, maar ook verzenden vanuit jou naam, en dat is een stuk ongemakkelijker..

    Oh dat is inderdaad een beetje naar :p

  9. Ik zeg allemaal aan Viber

  10. Hoe “luister” je een tekst gerelateerde app af?

    Origineel geplaatst door Alex
    Ik zeg allemaal aan Viber

    Alsof Viber zulke zuivere koek is.

  11. Ik wil juist afgeluisterd worden…

  12. Origineel geplaatst door Bram
    Hoe “luister” je een tekst gerelateerde app af?

    Heel goed luisteren!

  13. Is dit niet een beetje rücksichtslos overgenomen van security.nl waar verder ook geen onderbouwing te lezen valt ?
    Hoe valt dit in de praktijk toe te passen ?

    To obtain both these values is rather “simple”.

    Examples:
    1. You have direct access to your victims phone, in which case you dial & call *#06# (in most cases) and you’ve got their IMEI number.
    2. You develop an app that silently sends the victims IMEI number to your server in the background (many applications do this already) & phone number, either by letting them fill it in themselves in a registration part of your app, or also silently (this method however isn’t always airtight but works in a lot of cases).
    3. A hacker leaks a database/file with IMEI numbers with associated phone numbers, ding ding ding!
    4. A spammer buys this information from an app developer.

    #2 word al een lastig verhaal voor iOS.
    Ik zou “eenvoudig” gerust uit de titel halen, suggestieve sensatie die niet bestaat.

  14. @bakman: @Jean-Paul Horn: Zoals Jean-Paul al zegt, met deze methode en het github project kom je al een heel eind. Tuurlijk, de zus van pietje uit Hoogeveen zal het niet kunnen, maar met een beetje verstand van PHP/Python kom je al een heel eind.

  15. @bakman: Stap 2 voor Android (IMEI):

    TelephonyManager tm = (TelephonyManager) getSystemService(Context.TELEPHONY_SERVICE);
    String device_id = tm.getDeviceId();

    Stap 2 voor iOS (MAC)

    http://stackoverflow.com/questions/677530/how-can-i-programmatically-get-the-mac-address-of-an-iphone

    Maar MAC adres kun je inderdaad ook gewoon op openbare wifi’s “sniffen” met Wireshark oid – heel makkelijk, zoals @eiskoud aangeeft. Als je een slachtoffer hebt waarvan je WhatsApp wilt hacken en je zit samen op hetzelfde wireless netwerk, is het helemaal makkelijk (moet je nog wel natuurlijk de telefoon nummer weten). Eigenlijk is WhatsApp op iOS dus nog erger dan WhatsApp op Android.

    Nog een gerelateerde vraag – is er een makkelijk manier om iOS apps te reverse engineren zonder te jailbreaken?

  16. Gelukkig sinds een tijd mijn hele vriendengroep overgeschakeld op de app ChatOn. Wat een verademing tegenover Whatsapp, berichten komen razendsnel aan en alles is goed beveiligd..

  17. Nu berichten versleuteld zijn, zijn deze niet meer te decoderen?

  18. Ja maar als iemand een MD5 Hasht, wat dan? Waar kan hij dat invullen om bij je gegevens te komen

  19. @bakman: Jouw quote gaat over IMEI bij de Android-versie. Bij iOS wordt het MAC-adres gebruikt en dat is veel eenvoudiger te achterhalen. Lees het artikel anders nog eens? En lees ook de reactie van de originele vinder Sam Granger bij het gelinkte artikel over de iOS-methode.

  20. @Sam Granger: How to explore an iPhone application bundle. Bedoel je dit?