Lek WhatsApp Web jaar na ont­dekking nog steeds te misbruiken

Door: Raymon Mens - 2 reacties
WhatsApp lek 16x9
Afbeelding: Reuters/Dado Ruvic/File Photo

Een jaar geleden, in augustus van 2018, vroegen beveiligings­onderzoekers van CheckPoint aandacht voor een lek in WhatsApp Web. Destijds bleek het mogelijk om geciteerde berichten in groepschats te manipuleren. Een kwaadwillende kon zo iedere deelnemer woorden in de mond leggen. Een jaar later bestaat het lek nog steeds en blijkt er meer mogelijk.

De onderzoekers hebben namelijk ontdekt dat dit niet alleen de citeerfunctie treft. Ze konden niet alleen berichten sturen namens iedereen in een groepschat, maar ook berichten in individuele gesprekken vervalsen. WhatsApp Web, dat je ook op een laptop of tablet laat chatten, blijkt een zwakheid te bevatten die dit mogelijk maakt.

Zo werkt het lek in WhatsApp Web

Wat is er precies aan de hand? Het is eigenlijk heel simpel. Gesprekken op WhatsApp worden versleuteld met een cryptografische sleutel die alleen de deelnemers aan een gesprek kunnen gebruiken. Dit beschermt tegen afluisteren. Omdat WhatsApp Web ook gesprekken op een desktop, laptop of tablet moet kunnen tonen, wordt de cryptografische sleutel overgedragen van een telefoon naar een ander apparaat. Het blijkt eenvoudig om die sleutel af te vangen en deze opnieuw te gebruiken om berichten te vervalsen.

WhatsApp Web gebruikt een simpel protocol om berichten te ontvangen en versturen. Data wordt naar de server gestuurd in een JSON-formaat. Een bericht bestaat grofweg uit deze data: {“verzender: account1”, “ontvanger: account2”, “timestamp:”01/01/2019 13:37:01”, “inhoud: dit is het bericht”}. Die data wordt vervolgens versleuteld en naar de server gestuurd. Wat blijkt? Je kunt zelf gewoon de sleutel achterhalen, de namen van de velden aanpassen, het bericht weer versleutelen met de sleutel die uit WhatsApp Web lekt en het resultaat in WhatsApp plakken. Het ziet er dan uit als normaal bericht. Zo kun je dus iedereen woorden in de mond leggen.

Klein risico voor gewone gebruiker, toch zorgelijk

Dit is een achterdeurtje dat iedereen met wat moeite kan gebruiken. Leuk om je vrienden of collega’s eens mee te plagen, zou je denken. Het kan echter ook grotere gevolgen hebben. Met een paar extra velden zijn citaten en doorgestuurde berichten ook moeiteloos na te maken. Dit kan bijvoorbeeld gebruikt worden om een politicus woorden in de mond te leggen of desinformatie te verspreiden.

WhatsApp-eigenaar Facebook ligt voor betrokkenheid bij het manipuleren van verkiezingen onder een vergrootglas. Het laten bestaan van een lek dat het verzenden van fake berichten toelaat, doet daarbij geen goed. De enige reden dat dit nog niet opgelost is, moet technisch zijn. De sleutel voor het versleutelen van berichten zal op de een of andere manier overgedragen moeten worden bij het gebruik van WhatsApp Web. Anders zijn de berichten niet te lezen. Een oplossing kan dus nog ver weg zijn. Facebook heeft niet gereageerd.

Reacties

2 reacties
  • Profielfoto
    _Jordy_

    Ik ben wel benieuwd of dit lek zich dan ook bij Telegram Web zich voordoet?

  • Profielfoto
    whaha

    Nee, want die werkt op basis van een cloud. Correct me if I’m wrong.