Fout in verificatiecheck Whatsapp maakt meelezen berichten mogelijk
Er blijkt een fout in het verificatieproces van de populaire applicatie Whatsapp te zitten. Hierdoor is het mogelijk om mee te lezen met de chatberichten van iemand anders. Het enige dat nodig is, is een prepaid-telefoon zonder tegoed en wifi.
Een tipgever van GeenStijl ontdekte een manier om de controle te omzeilen. Ondanks dat deze tipgever volgens het weblog Whatsapp drie keer heeft geprobeerd op de hoogte stellen van zijn ontdekken, werden er geen maatregelen genomen.
Bij het installeren van Whatsapp wordt de gebruiker gevraagd zijn mobiele nummer in te voeren om zo het account aan de mobiele telefoon te kunnen koppelen. Om dit te controleren wordt er vanaf de telefoon een controlebericht gestuurd. Als Whatsapp kan verifiëren dat het bericht is aangekomen, is de registratie voltooid.
De tipgever ontdekte echter dat er een fout in die procedure zit die kan worden misbruikt. Als iemand namelijk geen beltegoed meer heeft en geen bereik heeft, dan wordt het sms-bericht niet verzonden. Dit bericht is echter wel bereikbaar op de telefoon. Door vervolgens het bericht via een online sms-dienst te versturen en daarbij het mobiele nummer van iemand anders als afzender te gebruiken, kan Whatsapp worden gekoppeld aan het account van een andere gebruiker.
Diverse tweakers hebben inmiddels hun ervaringen op het forum gedeeld over deze hack en de werking ervan bevestigd. Een van deze gebruikers stelt dat de applicatie na het spoofen niet meer functioneert op de telefoon van de gespoofde gebruiker.
Eerder al meldde beveiligingsonderzoeker ObAt aan Tweakers.net dat door op een netwerk het netwerkverkeer mee te lezen de berichten van Whatsapp onderschept kunnen worden en dat hierbij ook de gebruikersnaam en het wachtwoord te zien zijn. Hij kwam hier achter tijdens zijn onderzoek naar de dpi-praktijken van KPN. Tijdens diezelfde zoektocht ontdekte hij ook dat de website van Hi een beveiligingsfout bevatte.
Reacties (56)
[Reactie gewijzigd door Bor de Wollef op zaterdag 21 mei 2011 09:40]
Dat verhaal stond dan ook al een paar dagen geleden op WebWereldEerder al meldde beveiligingsonderzoeker ObAt aan Tweakers.net dat door op een netwerk het nerwerkverkeer mee te lezen de berichten van Whatsapp onderschept kunnen worden en dat hierbij ook de gebruikersnaam en het wachtwoord te zien zijn
http://webwereld.nl/nieuw...ers-en-chatberichten.html#
PSN, KPN, Facebook, Whatsapp noem maar op.Trouwens, het eenmalig hashen met MD5 is onvoldoende! Er zijn al Rainbow Tables te koop die 99.9% voltooit zijn. Ook is er al een gratis variant opgedoken die al meer dan 65% compleet is! Oftewel tweemaal hashen is geen luxe meer
Ik zou eerst kiezen om gewoon een fatsoenlijk hashingalgoritme te gaan gebruiken. Denk aan SHA-2. En natuurlijk goede salts gebruiken. Daarna kan je altijd nog gaan denken om meerdere keren te hashen maar als je eerst gewoon stopt met MD5 gebruiken...Oftewel tweemaal hashen is geen luxe meer
Bij MD5 zijn niet alleen rainbowtabellen een probleem maar ook zwakheden in het algoritme, cq een hoge kans op collisions.http://tweakimg.net/g/if/comments/button_submit.png
[Reactie gewijzigd door PolarBear op zaterdag 21 mei 2011 10:11]
Bron: http://nl.wikipedia.org/wiki/SHA-1
Met name deze salt zorgt ervoor dat rainbow tables nutteloos zijn, tenzij je deze voor de specefieke salt hebt. De kans hierop is echter zeer klein.
Overigens geldt dit voor elk hashing algoritme. Door de hash niet gelijk te maken aan de directe input (d.m.v. een salt) voorkom je al de meeste problemen.
[Reactie gewijzigd door wsitedesign op zaterdag 21 mei 2011 20:35]
Ik vermoed dat je dit bedoelt, maar je post is hier niet duidelijk over en ik zou niet willen dat iemand het verkeerd begrijpt...
Nu heeft ook je moeder en je buurman last van dit soort dingen, eerder (zeg ongeveer 5 jaar) was eigenlijk alleen het handige neefje die er last en weet van dit soort dingen had.
Nu de halve bevolking met smartphones + internetverbinding rondloopt worden veel meer mensen getroffen en dus is het nieuwswaardig en word duidelijk dat die dingen niet alleen handig maar ook een potentieel veiligheidsrisico in houden.
Dat jan en alleman een app in de diverse appstores kan zetten houd natuurlijk ook in dat alle apps van hetzelfde goede niveau zijn qua beveiliging.
En hoe populairder een programma, hoe meer mensen er in zitten te snuffelen naar fouten. Met of zonder goede bedoelingen.
EN, het is niet iets van de laatste tijd...
[Reactie gewijzigd door SuperDre op zaterdag 21 mei 2011 16:46]
Een aantal maanden geleden belde ik nog met mijn mobiele provider met het verzoek om mijn nummer te wijzigen. Na 5 minuten zette ik mijn toestel uit en aan en had ik een nieuw nummer. Onder WhatsApp kon ik echter nog met iedereen met mijn oude nummer SMSen. Deze bug blijkt te ontstaan omdat ik de SIM-kaart nooit fysiek uit het toestel heb gehaald. Een melding bij WhatsApp leverde het antwoord 'kunnen we niks aan doen' op. Oh well...
Als iemand anders jouw oude telefoonnummer overneemt en zich aanmeld, dan verlies je je jouw account wel. Moeten ze wel deze fout oplossen natuurlijk
BTW: Gebruik al tijden geen Whatsapp meer. Wat een stroomvreter!
Gezien het niet-zakelijke gebruik van whatsapp zie ik persoonlijk ook niet echt direct een groot gevaar.
Je moet namelijk wel de contacten kennen van diegene wiens nummer je overneemt.
Volgens mij is dat niet juist. Stel je hebt het nummer van een BN-er. Vervolgens voer je de 'hack' uit, en je wacht een poosje. Als die BN-er Whatsapp gebruikt, zullen er vanzelf berichten binnenstromen. Die kan je eenvoudigweg beantwoorden.Je moet namelijk wel de contacten kennen van diegene wiens nummer je overneemt.
Als dit daadwerkelijk zo is kom je er dus snel genoeg achter dat WhatsApp niet meer werkt. Een dag gaat het wellicht nog goed, maar veel langer zal het niet ongemerkt blijven. Of de gespoofde gebruikt WhatsApp niet veel waardoor je dus weinig binnen krijgt als spoofer.Een van deze gebruikers stelt dat de applicatie na het spoofen niet meer functioneert op de telefoon van de gespoofde gebruiker.
OT: Prima programma en ik mag hopen dat ze dit snel updaten!
Dus kom maar op met je staats-geheimen !
arj -x -v1440 file.arj c:\temp\secretdocuments
**insert secretdocuments.a00 in A:\**
Hoe werkt zo'n floppy precies? Kun je het alleen lezen met een floppy drive of zijn er ook ander toegankelijke manieren?
Of is het dus zo dat de sms gewoon van jezelf afkomstig is, van de app?
Hmmm dacht dat die code extern van Whatsapp kwam... Maar als de verificatie compleet in de app zit kun je die app ook hacken.
Edit inderdaad wordt bij de iPhone een sms gestuurd door de server van Whatsapp. Zie ook update webwereld
[Reactie gewijzigd door Rinzwind op zaterdag 21 mei 2011 17:55]
99% reageert dat ze toch niks te verbergen hebben
Ik vind dat er per app info moet worden gegeven over de data die wordt verzonden en ook dat apple en google via de officiële wegen daar richtlijnen over moeten neerzetten. Gezien het business-model van google, verwacht ik toch dat ze van buitenaf moeten worden aangespoord.
Op dit item kan niet meer gereageerd worden.
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
