Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 172, views: 102.142 •
Submitter: Kinsmir

Het is mogelijk om van elke WhatsApp-gebruiker de status te wijzigen. Een hacker heeft een site opgezet die een kwetsbaarheid in de chat-applicatie misbruikt. Het invullen van een telefoonnummer en update is voldoende om de status te wijzigen.

Door op de website WhatsAppStatus.net een mobiel telefoonnummer en een tekst in te voeren, kan de WhatsApp-status van de gebruiker van dat telefoonnummer worden gewijzigd. Het gaat om de status in de lijst met contactpersonen. De website is geen hoax, waarschuwt de onbekende hacker, en een proef van Tweakers.net bevestigt dat.

Het wijzigen van de status werkt in alle gevallen, hoewel de applicatie eerst moet worden afgesloten om de nieuwe status-update te tonen. Soms is een force-close nodig. De website maakt gebruik van een beveiligingsprobleem in het WhatsApp-protocol: het wijzigen van de status-update gebeurt op de xmpp-servers van WhatsApp, en door gebrek aan authenticatie is het wijzigen van elke status mogelijk.

Waarschijnlijk is de bouwer van de tool een Nederlander: de site wordt door het Nederlandse LeaseWeb gehost en het voorbeeld-telefoonnummer dat de tool weergeeft, begint met '+31', de Nederlandse land-extensie.

Opvallend is dat WhatsApp al halverwege september van het beveiligingsprobleem op de hoogte is gesteld. De kwetsbaarheid werd in december in de openbaarheid gebracht, maar het is onwaarschijnlijk dat de ontdekker van het lek ook de maker van de tool is. De beveiligingsonderzoekers ontdekten ook dat sommige berichten als plain-text worden verzonden en dat het mogelijk was om de registratie te omzeilen via brute-force. WhatsApp heeft maatregelen genomen om dat laatste probleem op te lossen, waardoor een succesvolle aanval onwaarschijnlijker wordt.

Volgens de hacker gaat het om 'een van de grote beveiligingsproblemen' van WhatsApp. Welke problemen er nog meer met de gratis chatapplicatie zouden zijn, is onbekend. Eerder ontdekte een lezer van Tweakers.net dat WhatsApp berichten onversleuteld opslaat. Kort daarvoor maakte een fout in de sms-verificatie van WhatsApp het mogelijk om berichten van anderen te lezen.

WhatsApp-bug: Je vult iemands mobiele nummer en de gewenste status in...WhatsApp-bug: ...en de WhatsApp-status van onze hoofdredacteur is gewijzigd

Update, 11:08: Inmiddels lijkt de tool in veel gevallen niet te werken. Mogelijk is dat het gevolg van het explosief gestegen bezoek aan de site.

Reacties (172)

Reactiefilter:-11720167+199+25+30
1 2 3 ... 8
Wat een faal van WhatsApp.
Ook wel slecht om als hacker dit uit te geven, ik had respect voor 'm gehad als hij de exploit zou melden.
Een echte black hat dus.

EDIT: @hieronder Inderdaad slecht dat WhatsApp er niets mee doet, maar het blijft slecht om dit dan uit te geven. Hopelijk schud het ze wel lekker wakker.

[Reactie gewijzigd door Zerfox op 6 januari 2012 09:45]

als je e.e.a. een door leest dan zie je dat het probleem al heel lang geleden gemeld is bij de makers van WhatsApp. Als zij er vervolgens niks mee doen dan is dit stap 2.

overigens: WhatsApp is gebouwd op XMPP, het protocol wat vroeger ook wel Jabber genoemd werd. Dit is een zeer fijn protocol om mee te werken, wanneer je weet wat je doet. Het berichtenverkeer is gewoon XML, dus het is van belang om de gegevens die je in de XML zet te versleutelen. Wanneer je dat niet doet is het natuurlijk een kwestie van tijd dat men dit weet te kraken.

[Reactie gewijzigd door Carino op 6 januari 2012 09:21]

Het heeft niks met versleuteling van de gegevens te maken, maar een faal in het protocol van WhatsApp zelf, waardoor iedereen elkaars status zonder authenticatie kan aanpassen.

Ik zelf vind het goed dat dit soort dingen publiekelijk aan het licht komen. Liever dat iedereen het weet / kan gebruiken dan een kleine groep hackers die er alleen van afweet en er dus langer misbruik van kunnen maken. Wordt het hopelijk ook sneller bij WhatsApp opgelost, want het is gewoon 100% hun fout.
ik zeg ook niet dat deze fout veroorzaakt wordt door het niet versleutelen van de gegevens, ik geef aan dat XMPP (het gebruikte protocol) standaard niet versleuteld is en dat je als ontwikkelaar van een enorm populaire applicatie dus zelf verantwoordelijk bent voor het versleutelen van de data die via het protocol verzonden wordt.

ik verwacht dat ze bij WhatsApp in ieder geval wel even wakker geschud zijn nu en hopelijk zien ze in dat ze nu echt heel snel wijzigingen in hun platform door moeten voeren willen ze #1 blijven.

Helaas is het, door de acceptatieprocedures van de verschillende mobiele platformen niet mogelijk om ad-hoc een update klaar te zetten. Daar zal minimaal een dag of 5 overheen gaan, gebaseerd op de gemiddelde snelheid dat een update voor een applicatie goedgekeurd wordt. De wijziging die ze moeten doorvoeren zal namelijk op zowel de server- als op de clientkant uitgevoerd moeten worden.
Het was al in september gemeld, das wel iets meer dan paar dagen.
volgens mij is de landcode in een telefoonnummer trouwens geen extensie maar een prefix ...

een extensie hang je achteraan; een prefix vooraan...
Opzich is het veranderen van status nou niet zo heel boeind. Niemand veranderd deze(teminste bij mij niet). Ik had het erger gevonden dat hij via mijn nummer berichten kon sturen of alles kon lezen.

De exploit is ook gewoon te vinden op het web hoor :)

Trouwens er zijn meerdere dingen wat nog niet gefixt is

Issue 1: Updating arbitrary users' status
Issue 2: Registration bypass
Issue 3: Usage of plain text protocols

Volgens mij zijn deze problemen al bekend sinds 2011-09-09

[Reactie gewijzigd door Killertjuh op 6 januari 2012 09:25]

Veranderen van status niet boeiend? Ik verwacht spam in de statussen als het niet gedicht zal worden...
Niet zo heel boeiend aangezien veel mensen niet op hun eigen status of die van anderen letten, als ze uberhaubt al weten dat er zoiets is als een status. Het is zeker lullig dat het probleem al zo lang bekend is zonder dat er iets aan werd gedaan maar het kon natuurlijk een stuk erger.
Precies.

Kon je een status bij Whatsapp instellen dan? Nooit gezien. En daarbij moet de applicatie eerst herstart worden.
Hoe vaak doe je dat? Ja, als je telefoon uit ging vanwege een lege batterij?
je moet wel blind zijn om niet te zien dat daar bij de meesten normaal gesproken standaard staat: Hey I'm using Whatsapp...als daar ineens iets anders staat dan merk je dat heus wel op hoor...of ik moet een soort van shawn spencer (psych) in real life zijn
nou....als ik iemand kapot wil maken kan ik in die persoon zijn status iets persoonlijks over hem zetten of iets dergelijks...
Nouja hij meldt dat er nog meer grote lekken zijn, en wat hij gepubliceerd heeft is imho redelijk onschuldig. Het is iig wel een manier om de aandacht er op te verstigen waardoor de misschien gevaarlijkere maar minder "leuke" problemen wellicht ook opgelost worden?
Nou ja, redelijk onschuldig. Je weet natuurlijk niet wat er allemaal op de achtergrond gebeurd.

De status veranderen is inderdaad niet zo erg, maar als iedereen dat via die website gaat doen kan er wel een leuke database aan telefoonnummers met WhatsApp aangelegd worden. En zeker als er ergere bugs in het protocol naar voren zouden kunnen komen heb ik liever niet dat er bij een hacker bekend is dat er een WhatsApp account aan mijn telefoonnummer gekoppeld is.
De status veranderen is inderdaad niet zo erg, maar als iedereen dat via die website gaat doen kan er wel een leuke database aan telefoonnummers met WhatsApp aangelegd worden.
Inderdaad. Ik vraag me af wie de eigenaar van die website is. Hij zal deze domeinnaam zeker niet voor niets geregistreerd hebben. Using this website is at your own risk and responsibility. :)
Dat was dus al gebeurt, halverwege september. Dus ze hebben genoeg tijd gehad op het te fixen eigenlijk lijkt me zo
Op de website geeft hij aan dat de makers al enige tijd bekend zijn met de problemen en beloofd hebben met een update te komen, maar die blijft uit.
Deze exploit is niet nieuw en is al sinds september 2011 bekend. De bug is meermalen aan WhatsApp gemeld maar tot op heden is hier niks mee gedaan: http://packetstormsecurit.../108010/SA-20111219-1.txt
Volgensmij is dit niet eens een hack te noemen. De status veranderen gaat via XMPP zonder authenticatie!

Snap je black hat verhaal dus niet helemaal ;)
Helemaal mee eens. Dit is niet eens hacken. Dit is gewoon handig gebruik maken van de 'API' van Whatsapp.

Ik vind het een mooie actie van deze creatieveling, omdat het op deze toch wel ludieke manier de aandacht van de media en het algemene publiek trekt. Het geeft eens te meer aan dat Whatsapp zijn beveiliging niet op orde heeft en je moet dus ook behoedzaam zijn met wat je allemaal vertelt over Whatsapp. Belangrijkste lijkt me dat je whatsapp niet gebruikt om wachtwoorden te communiceren.

[Reactie gewijzigd door Ras op 6 januari 2012 13:07]

ik kan u persoonlijk verzekeren dat een rechter dit aanziet als hacken. (of cracken, want dat is voor hen hetzelfde)
Sorry hoor maar wat is er nu erg aan het wijzigen van je status? Overdrijven we het belang van WhatsApp niet een beejte?
een vriend van jou wil je beste vriend wegpesten (ruzie) veranderd daarbij de status van je beste vriend in Jol65 is een vieze gore klootzak...overdrijven we dan nog een beetje?
Dude: Opvallend is dat WhatsApp al halverwege september van het beveiligingsprobleem op de hoogte is gesteld. De kwetsbaarheid werd in december in de openbaarheid gebracht, maar het is onwaarschijnlijk dat de ontdekker van het lek ook de maker van de tool is
Zulke conclusies moet je niet te snel trekken, allereerst is het heel gewoon dat dit soort dingen voorkomen, zo'n beetje iedere grote bedrijf ter wereld heeft ergere dingen mee gemaakt door hackers(Playstation, RIM) maar dat je er gelijk vanuit gaat dat ze er niks aan gaan doen is fout, zoals je nu wel kan zien in tweakers blijkt het al te zijn gefixt ;)
Het werkt nog echt ook. Ongelofelijk :P
wat verwacht je dan van een kleine free app.
maargoed er zal vast wel snel een update komen
Een kleine free app? First of all kun je er ook gewoon voor betalen, en ten tweede, WhatsApp is nou niet echt een van de kleinste appjes... :+
ik bedoel van, het is aan het aantal downloads en user een grote app maar niet kwa mb's

[Reactie gewijzigd door Blackarrownl op 6 januari 2012 09:29]

Dus omdat de app zelf een kleine executable heeft is dat een excuus dat de beveiliging niet goed op orde is? 8)7
Hoe meer code hoe waarschijnlijker dat er een fout insluipt. Je moet immers je aandacht over een groter speelveld verdelen. Minder mb's zou je daarom juist veiliger verwachten.
Ook mijn gedachte, daarnaast zou je verwachten dat critical bugs door de 'grootte' van de applicatie juist sneller worden verholpen.
Helaas werkt dit niet op die manier, omdat het aantal code van de app niets zegt over de beveiliging op de servers van WhatsApp waarin zij de berichtgeving en authenticatie opgeven. Het is maar een kleine moeite om de status op eenzelfde manier te behandelen als elk ander bericht dat verstuurd wordt waarvoor wel een authenticatie vereist is.
Van een app waar in potentie grote hoeveelheden persoonlijke gegevens doorheen gaan verwacht ik dat een beetje zorgvuldig me de beveiliging wordt omgesprongen. Dat het gratis is veranderd daar niets aan.

En het hoeft niet eens veel extra werk te zijn, gewoon een kwestie van best-practices volgen en een beetje kennis maakt het al een stuk veiliger.
Had je al eens gekeken naar de beveiliging van SMS? Die is ook behoorlijk brak en wordt nog veel meer gebruikt. En daar moet je nog voor betalen ook!
Heb je een bron toevallig?
Ga de websites van verscheidene hacker conferenties langs en zoek op GSM.
Een app met miljoenen gebruikers is niet een kleine app, hoe klein de app zelf ook is. En die update komt misschien wel, maar whatsapp kennende zal dat nog wel veel te lang duren.

Ik ben zelf ook al van whatsapp afgestapt, waar mogelijk gebruik ik iMessage, en anders stuur ik wel gewoon een sms.
Fijn voor jou dat je iMessages stuurt, daar heeft een Android gebruiker dus mooi geen ene fluit aan.

SMS sturen is nowadays te kostbaar en ik zie SMS na verloop van tijd ook uitfaseren. Het beestje zal dan wel een andere naam krijgen.
En heb er voor de iphone voor moeten betalen... niet echt free dus.
Dat is uitermate grappig, maar toont ook wel aan dat de maker(s) van WhatsApp wat te doen hebben security-wise! Doet me denken aan de tijd waarin je dit op MSN Messenger deed :-) *longtimeago*
gelukkig is de status het minst gebruikte van whatsapp, meer dan genoeg mensen die het vanaf dag 1 niet hebben veranderd.
Ik denk dat de hacker dit gewoon als voorbeeld heeft genomen om die reden. Zoals de berichten namelijk zeggen is dit nog maar het topje van de ijsberg en gaat er waarschijnlijk veel meer data onbeveiligd heen en weer. Data die wel veel persoonlijker is.
Hij komt bij mij niet door.

Update #1
Ja het werkt

[Reactie gewijzigd door King Dingeling op 6 januari 2012 09:20]

De site heeft het erg druk geloof ik, hij ligt er vrijwel uit.

Slechte zaak dat dit kan, en een nog slechtere zaak dat dit dik drie maanden na melding niet verholpen is.
Nog een manier om the spammen...
Leuk deze 'hack'. Maar wat voor nut heeft het nou precies behalve het irriteren van mensen en het aantonen van een lek. Echt een gevaar voor de data op je telefoon is het niet.
true, maar het is gewoon denk ik om aantetonen dan alles te hacken is.
Als dit al te hacken is dan is natuurlijk de volgende stap het versturen van berichtjes in iemands anders zijn naam.
Je wilt niet weten wat een gevoel mensen hebben bij de status van hun partner, bijvoorbeeld. Als bij Meisje1 al een paar weken staat dat ze helemaal verliefd is op Jongen1, en plotseling staat daar dat ze zwaar ongelukkig is.. Jongen1 denkt dat het helemaal mis is, wordt boos.

Of wat te denken van nep statussen die doen vermoeden dat iemand suÔcidaal is? Staat ineens de politie voor je deur omdat bezorgde familie en vrienden 112 hebben gebeld nadat je status ineens aangeeft: "Ending it, goodbye."
Vraag me dan ook af of het mogelijk is om via een webapplicatie een bericht te sturen naar een nummer onder een eigen ingevoerd nummer. Zal mij niets verbazen, aangezien dit ook kan.

Nu is de grote vraag; weet WhatsApp dat deze webapp bestaat. Zo ja; waarom blokkeren ze het IP niet?
Het blokkeren van het IP-adres lijkt me nogal 'dwijlen met de kraan open' en heeft nagenoeg geen waarde; het lijkt me beter als ze de focus leggen op het oplossen van het achterliggende probleem.
Eens, helemaal gelijk. Niet aan gedacht :)
Ze zijn al sinds September op de hoogte van het lek. Bovendien, het IP blokkeren lost het lek niet op en wisselen van IP-adres is niet zo heel moeilijk, het is ook prima te spoofen.
MIsschien is het beter om het lek te dichten ipv een IP van de host van deze applicatie te blokkeren. Switchen van hosting provider is snel gedaan ;)
Als die request gewoon via HTTP verloopt dan zou je het via (client side) ajax kunnen versturen, en wordt het dus via jouw eigen IP-adres verstuurd, niet dat van deze website.
Ach, dit soort dingen konden vroeger bij ICQ ook. Dat houd het spannend.

Waar ik me veel meer zorgen over maak is dat het niet helemaal duidelijk is hoe lang Whatsapp je berichten bewaard en wat ze er eventueel nog meer mee doen. Hoewel ze beloven het niet door te spelen aan spammers (erg fijn) staat er toch ook ondubbelzinnig in hun voorwaarden: "Any personal information or status content that you voluntarily disclose becomes publicly available and can be collected and used by others."
Hiermee kun je vrienden goed mee trollen. Ik vind het wel raar dat WhatsApp het zo makkelijk in elkaar heeft gezet...
1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013