Onderzoeker: “WhatsApp kampt al maanden met beveiligings­probleem”

Door: Raymon - 3 reacties

Er zit een kleine kwetsbaarheid in de end-to-end-encryptie van WhatsApp. Door encryptie zouden chats alleen bij de legitieme ontvanger aan moeten komen, maar volgens beveiligings­onderzoeker Tobias Boelter is dat niet altijd het geval.

De encryptie werkt met een door de ontvanger en verzender vertrouwde sleutel. Wanneer de gebruiker offline is en er een nieuwe sleutel wordt gemaakt, worden oude berichten alsnog afgeleverd. Pas na aflevering volgt een waarschuwing over de gewijzigde sleutel.

Volgens de onderzoeker zouden berichten die met de oude sleutel verzonden zijn niet meer afgeleverd mogen worden en moet de berichtenstroom pas op gang komen nadat de ontvanger een waarschuwing over de gewijzigde sleutel heeft gezien. WhatsApp voorziet de berichten echter direct van nieuwe encryptie op basis de gewijzigde sleutel en levert deze af. Zo kan iemand (bijvoorbeeld een overheidsdienst met een drieletterige naam) een telefoonnummer kapen, een WhatsApp-account aanmaken en de laatste niet-afgeleverde berichten lezen.

whatsapp-schama
Encryptie van WhatsApp schematisch weergegeven.

Boelter heeft dit in april van 2016 bij WhatsApp gemeld, maar het is nog altijd niet opgelost. De chatdienst zegt op zijn beurt dat dit gewoon een feature is. WhatsApp wil er zeker van zijn dat berichten afgeleverd worden, ook bij switchen van telefoon of simkaart, waardoor een nieuwe sleutel wordt aangemaakt. Een woordvoerder zegt tegen The Guardian dat gebruikers in ontwikkelingslanden vaak van sim of telefoon wisselen.

WhatsApp gebruikt het Signal-protocol om berichten te versturen, dit protocol wordt door vele experts als erg veilig omschreven. Het probleem is de manier waarop WhatsApp het geïmplementeerd heeft. Signal heeft ook een eigen chat-app, die berichten niet automatisch met een nieuwe sleutel verstuurt. De onderzoeker raadt die app dan ook aan.

Reacties

3 reacties
  • Profielfoto
    Nummer 50 Jubileumeditie

    Daar moet je ook echt een onderzoeker voor zijn hé…

  • Profielfoto
    w1mster

    Misschien is het interessant om even het blog van Open Whispers (de makers van de encryptiesoftware gebruikt door Whatsapp) te lezen over dit ‘nieuws’.

  • Profielfoto
    Neowip

    Die blog post van Open Whispers kwam pas later, naar aanleiding van de verontwaardiging over dit nieuws. Daar hoef je geen aanhalingstekens bij te plaatsen.

    WhatsApp heeft een afweging gemaakt tussen veiligheid en bruikbaarheid die anders is dan Signal maar waar Open Whispers zich desondanks in kan vinden gezien de scope van WhatsApp.