Onderzoeker: “WhatsApp kampt al maanden met beveiligings­probleem”

Raymon op 13 januari 2017 3 reacties Laatste door Neowip

Er zit een kleine kwetsbaarheid in de end-to-end-encryptie van WhatsApp. Door encryptie zouden chats alleen bij de legitieme ontvanger aan moeten komen, maar volgens beveiligings­onderzoeker Tobias Boelter is dat niet altijd het geval.

De encryptie werkt met een door de ontvanger en verzender vertrouwde sleutel. Wanneer de gebruiker offline is en er een nieuwe sleutel wordt gemaakt, worden oude berichten alsnog afgeleverd. Pas na aflevering volgt een waarschuwing over de gewijzigde sleutel.

Volgens de onderzoeker zouden berichten die met de oude sleutel verzonden zijn niet meer afgeleverd mogen worden en moet de berichtenstroom pas op gang komen nadat de ontvanger een waarschuwing over de gewijzigde sleutel heeft gezien. WhatsApp voorziet de berichten echter direct van nieuwe encryptie op basis de gewijzigde sleutel en levert deze af. Zo kan iemand (bijvoorbeeld een overheidsdienst met een drieletterige naam) een telefoonnummer kapen, een WhatsApp-account aanmaken en de laatste niet-afgeleverde berichten lezen.

whatsapp-schama

Encryptie van WhatsApp schematisch weergegeven.

Boelter heeft dit in april van 2016 bij WhatsApp gemeld, maar het is nog altijd niet opgelost. De chatdienst zegt op zijn beurt dat dit gewoon een feature is. WhatsApp wil er zeker van zijn dat berichten afgeleverd worden, ook bij switchen van telefoon of simkaart, waardoor een nieuwe sleutel wordt aangemaakt. Een woordvoerder zegt tegen The Guardian dat gebruikers in ontwikkelingslanden vaak van sim of telefoon wisselen.

WhatsApp gebruikt het Signal-protocol om berichten te versturen, dit protocol wordt door vele experts als erg veilig omschreven. Het probleem is de manier waarop WhatsApp het geïmplementeerd heeft. Signal heeft ook een eigen chat-app, die berichten niet automatisch met een nieuwe sleutel verstuurt. De onderzoeker raadt die app dan ook aan.

Raymon is vaste redacteur bij OMT, maar noemt zich liever redactieninja. Ook te volgen op Twitter en wekelijks te horen in de TechSnacks Podcast. Lees meer artikelen van Raymon.

En nu?

3 reacties

Profielfoto

Nummer 50 Jubileumeditie op 13 januari 2017

Daar moet je ook echt een onderzoeker voor zijn hé…

Profielfoto

w1mster op 14 januari 2017

Misschien is het interessant om even het blog van Open Whispers (de makers van de encryptiesoftware gebruikt door Whatsapp) te lezen over dit ‘nieuws’.

Profielfoto

Neowip op 15 januari 2017

Die blog post van Open Whispers kwam pas later, naar aanleiding van de verontwaardiging over dit nieuws. Daar hoef je geen aanhalingstekens bij te plaatsen.

WhatsApp heeft een afweging gemaakt tussen veiligheid en bruikbaarheid die anders is dan Signal maar waar Open Whispers zich desondanks in kan vinden gezien de scope van WhatsApp.

 


Je kunt alleen reageren met een gratis OMT account.
Heb je geen OMT account? Registreer je dan nu gratis!

Inloggen

 

of Wachtwoord resetten?