Hackers verkrijgen toegang tot accounts van Iraanse Telegram-gebruikers - Update

Hackers in Iran wisten volgens beveiligingsonderzoekers toegang te krijgen tot 'meer dan een dozijn' Iraanse Telegram-accounts. De hack kon plaatsvinden door het sms-bericht te onderscheppen dat gestuurd wordt om Telegram op een nieuw apparaat te activeren.

In een gesprek met Reuters zeggen de beveiligingsonderzoekers, die al drie jaar Iraanse hackers bestuderen, dat het probleem zich vooral voor zal doen in landen waar de telefoonmaatschappijen sterk onder invloed van de regering staan. Volgens de onderzoekers lijkt het er namelijk sterk op dat de hacks plaatsvonden in samenwerking met de telefoonmaatschappij, omdat die laatste makkelijk sms'jes kan onderscheppen.

Een woordvoerder van Telegram zegt dat gebruikers van de dienst zich tegen dergelijke aanvallen kunnen weren door niet alleen op sms-verificatie te vertrouwen. Dit is op te vangen door twee-staps-verificatie in te stellen. In dat geval kan een extra wachtwoord ingesteld worden, waardoor niet op een nieuw apparaat ingelogd kan worden zonder dat wachtwoord. Dit wachtwoord is wel via een 'recovery email' te achterhalen, maar als 'je herstel-e-mailaccount veilig is', zou dat geen probleem moeten zijn, aldus de woordvoerder.

De beveiligingsonderzoekers merken ook op dat de hackers 15 miljoen Iraanse telefoonnummers hebben achterhaald van Telegram-gebruikers. Dat zouden ze gedaan hebben door de api te brute-forcen, door miljoenen nummers in te voeren en te achterhalen welke nummers een user-id terugsturen. Telegram zegt dat de api inmiddels is aangepast en dat het niet meer mogelijk is om dergelijke massachecks uit te voeren.

Het in Berlijn gevestigde Telegram is een populair chatprogramma in Iran; het zou er zo'n 20 miljoen gebruikers hebben. Telegram zegt zo'n 100 miljoen actieve gebruikers te hebben, voornamelijk in het Midden-Oosten, Zuidoost-Azië en Zuid-Amerika.

Onlangs bracht het Amerikaanse National Institute of Standards and Technology naar buiten dat het sms voor tweetrapsauthenticatie ongeschikt acht, onder andere omdat een telefoonnummer bijvoorbeeld door een voip-dienst gebruikt kan worden. Als oplossing geeft NIST bijvoorbeeld multifactorauthenticatie.

Update 10.18 uur: Verduidelijking toegevoegd over het verkrijgen van de 15 miljoen telefoonnummers en het verband tot de hack.

IT-banen

Reacties (69)

Verwijderd 3 augustus 2016 09:48

Deze hack is al veel langer bekend, en werkt eigenlijk bij alle soortgelijke chat diensten die op basis van telefoonnummer werken.

http://telegramgeeks.com/...am-accounts-ss7-protocol/

De reden dat het bij Telegram harder aankomt is vanwege de cloud dienst. Secret messages kunnen niet gelezen worden via deze hack.

Het is te hopen dat al deze diensten bij gebruikers er op gaan aandringen om 2FA aan te zetten.

EDIT: hier de reactie van Telegram zelf:
https://telegram.org/blog/15million-reuters

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:42]

Laloeka @Verwijderd • 3 augustus 2016 13:18

Er is niet eens sprake van een hack. Dit is gewoon een groepe Iraanse onderzoekers die graag in het nieuws komt. Ze hebben al een aantal keer in de afgelopen maanden de media opgezocht met het verhaal dat ze op een paar accounts konden inloggen omdat deze accounts enkel SMS verificatie gebruikte.

Nu hebben ze het woord '15 miljoen' gebruikt in hetzelfde oude verhaal, omdat ze zogenaamd een lijst hebben gehackt van 15 miljoen iraanse telefoonnummers die een Telegram account zouden hebben

Echter, dit is gewoon achterhaald door 15 miljoen telefoonnummers als Telegram contact toe te voegen en te kijken of ze een Telegram gesprek met deze contacten konden starten. Dat is dus nauwelijks een 'hack' te noemen.

Inmiddels is het niet eens meer mogelijk zulke grote aantallen contacten te checken, al sinds April niet meer.

Jammer dat betrouwbare nieuwsbronnen als Reuters, en nu dus ook Tweakers, het zo misleidend verwoorden. Er is echt vrij weinig aan de hand, behalve dat SMS codes achterhaald zijn, maar dat is geen Telegram specifiek probleem en Telegram biedt daarom 2-step authentication aan.

[Reactie gewijzigd door Laloeka op 24 juli 2024 01:42]

fommes @Laloeka • 3 augustus 2016 15:30

15 miljoen nummers verifiëren via een open API is toch wel een hack te noemen, ik snap ook niet waarom er geen rate limit op de API van telegram zat
Het is misschien geen technisch hoogstandje (dat maakt het des te idioter dat het mogelijk was.) maar er is wel degelijk data buitgemaakt.

WhatsappHack

Netwerk en systeembeheer

@Laloeka • 3 augustus 2016 14:18

Ik zie niet zo goed in waarom het misleidend is. Die Iraanse hackers hébben toch ook toegang gekregen tot de Telegram account van een stel Iranezen?
Meer zegt Tweakers niet. Er wordt niet gesteld dat Telegram gehacked is, maar dat door een samenhang van omstandigheden (brakke API van Telegram (hebben niets geleerd van de fappening blijkbaar...) + toegang tot verificatie SMS + gebruikers zonder 2fa) toegang is verkregen tot de accounts.

Niets meer, niets minder; niets misleidends aan.

Laloeka @WhatsappHack • 4 augustus 2016 13:12

De oorspronkelijke titel van het Tweakers artikel, en die van het Reuters artikel, stelde dat er 15 miljoen accounts gehackt zouden zijn en er persoonlijke informatie zoals het telefoonnummer buitgemaakt zouden zijn. Dat is slordige journalistiek, en op z'n minst misleidend.

[Reactie gewijzigd door Laloeka op 24 juli 2024 01:42]

RVervuurt 3 augustus 2016 08:23

Maar, als dit samen met de provider is gedaan, waarom heeft die provider dan niet gewoon de telefoonnummers aan de hackers gegeven? Hoef je ook niets te onderscheppen... Of is er ook meer informatie buitgemaakt, waar hier niet over gesproken wordt?

Sorcerer8472 @RVervuurt • 3 augustus 2016 09:13

In Iran gebruiken ze nog vooral 2G, Via een 2G-netwerk is het vaak ook eenvoudiger om zaken te onderscheppen dan via 3G en 4G. Als je in de buurt bent van het toestel dat de SMS moet ontvangen dan kun je ook eea doen als je echt weet waar je mee bezig bent. Om de gebruiker van 3G naar 2G te forceren zijn er trucjes.

Telecommaatschappij hoeft dus niet per se mee te werken voor dit soort zaken. Ik denk dat het scenario dat ik noem ongeveer even waarschijnlijk is.

[Reactie gewijzigd door Sorcerer8472 op 24 juli 2024 01:42]

RM-rf @Sorcerer8472 • 3 augustus 2016 09:42

het lijkt me onwaarschijnlijk dat er bij een hack van 15 miljoen accounts/telefoonnummers sprake is van een techniek waarbij men bv fysiek toegang tot individuele verbindingen moet krijgen of deze op individueel niveau zou moeten ontsleutelen.

Met bv het scannen/afluisteren van 2G-verbindingen zou je bv specifieke 'targets' kunnen hacken, maar niet een grootschalige hack in korte tijd miljoenen accounts kunnen buitmaken.

Sorcerer8472 @RM-rf • 3 augustus 2016 10:28

Het gaat om 'meer dan een dozijn', de 15 miljoen gaat om het bruteforcen van de API om te kijken of er een user achter een bepaald telefoonnummer hangt.

blorf @Sorcerer8472 • 3 augustus 2016 13:28

Wat wordt hier met API bedoeld? Hebben ze de 'engine' van de Telegram app misbruikt om het telefoonnetwerk te bestoken met calls naar willekeurige telefoonnummers?
Lijkt mij idd. waarschijnlijk dat je dan medewerking van de telefoonmaatschappij nodig hebt, tenzij je zeker weet dat ze daar allemaal zitten te slapen. Vreemd verhaal.

[Reactie gewijzigd door blorf op 24 juli 2024 01:42]

Sorcerer8472 @blorf • 3 augustus 2016 13:43

Nee, via hun API kun je gewoon via het internet requests doen om te peilen of een telefoonnummer op Telegram zit. Dit was een zwakte in hun API. Zie ook het nieuwsartikel.

Ultrapc @RM-rf • 3 augustus 2016 10:32

Het binnenkomen bij Telegram is dan ook niet veel meer dan een 'dozijn' keer gebeurd. Zou best op die manier kunnen als je er wat mensen op zet hoor.

Die 15miljoen komt van het leegtrekken van een api, eigenlijk het makkelijkste deel van de 'hack'

Dr. Ego @Sorcerer8472 • 3 augustus 2016 11:56

Waar haal je die informatie vandaan? Ik woon op het moment in Iran en heb gewoon een 3g of 4g verbinding in de grote steden, waar verreweg de meerderheid van de bevolking woont

Sorcerer8472 @Dr. Ego • 3 augustus 2016 11:57

MobileWorldLive, maar die loopt blijkbaar redelijk achter wat Iran betreft

http://maps.mobileworldli...rk.php?cid=198&cname=Iran

Overigens wordt bij dit soort attacks vaak 3G/4G gestoord waardoor de telefoon van de gebruiker alleen 2G als optie ziet en daarnaar connect.

[Reactie gewijzigd door Sorcerer8472 op 24 juli 2024 01:42]

Firefly III @RVervuurt • 3 augustus 2016 08:28

Omdat het specifiek gaat om Telegram gebruikers. Die kan je vervolgens weer op andere manieren in de gaten gaan houden.

Nogne @Firefly III • 3 augustus 2016 10:37

En over welke manieren hebben wij het dan?

Firefly III @Nogne • 3 augustus 2016 10:49

Goeie vraag! Eens even kijken. Waar ik aan denk, dat zijn de volgende dingen.

Er wonen volgens Wikipedia zo'n 80 miljoen mensen in Iran. Gegeven dat mensen die Telegram gebruiken dat ook doen vanwege de "security" features, is dit een goede methode om te filteren in de pool mensen die je in de gaten wil houden. Het regime van Iran is er strikt genoeg voor. Van 80 naar 15 scheelt nogal.

Die set telefoonnummers kan je vervolgens mappen. Wie komt bij elkaar in de buurt, belt elkaar, smst elkaar (ondanks Telegram), etc. Daar haal je groepen personen uit. De standaard methodes dus.

Plus, mocht er ooit een zwakke plek in Telegram ontdekt worden. In de app of in het protocol, heb je 15 miljoen potentiele slachtoffers.

WhatsappHack

Netwerk en systeembeheer

@RVervuurt • 3 augustus 2016 13:57

Er is toegang verkregen tot die Telegram accounts. Gezien Telegram alles van je verzamelt, houdt dat in dat er toegang is verkregen tot o.a.:
- Alle berichten die je ooit verstuurd hebt, m.u.v. secret chats
- Alle contacten
- In welke groepen je zit, met wie; en de chatgeschiedenis van die groep
- Alle media, zoals foto's en videos.

Dat kan voor sommige mensen een heel erg groot probleem worden, zeker omdat men wel eens dingen doet die tegen de wet zijn.

Oyxl 3 augustus 2016 08:28

Wacht even, lees ik nu goed dat de 2 way verification (sms) die tegenwoordig heel vaak door bedrijven voor verschillende applicaties en diensten wordt gehanteerd nu door de gebruiker zou moeten worden afgeschermd met een extra wachtwoord, hetzelfde wachtwoord dat overbodig zou moeten worden gemaakt door een dergelijke authenticatie methode? Volgens mij moeten ze zich even na laten kijken.

Als het probleem bij de telefoonmaatschappij ligt, zal het probleem zich niet slechts tot instagram beperken neem ik aan.

xalvo @Oyxl • 3 augustus 2016 08:47

Als het probleem bij de telefoonmaatschappij ligt, zal het probleem zich niet slechts tot instagram beperken neem ik aan.

Inderdaad. Duizenden systemen vertrouwen op de 'veiligheid' van SMS berichten voor verificatie. Whatsapp gebruikte de systematiek al voordat Telegram deze ging gebruiken. Er is bij deze Apps dan ook niet zozeer sprake van authenticatie door middel van SMS, maar meer van verificatie of het toestel wel het opgegeven telefoonnummer gebruikt.
Afhankelijk van de onderliggende systemen en de daarin opgenomen beperkingen is dit echter niet alleen een risico voor de inwoners van overheids gecontroleerde staten zoals Iran. Als ze zich daar voordoen als enig andere telefoon is (als er geen beperkingen aan de SMS methoden zijn gesteld) dus ook gewoon ieder ander (westers) nummer 'hacken'.

Blokker_1999

Netwerk en systeembeheer

@xalvo • 3 augustus 2016 10:30

Ik denk dat het correcter is om te stellen dat duizenden systemen vertrouwen op 2FA. Het aantal systemen dat enkel en alleen vertrouwd op SMS is zeer beperkt.

xalvo @Blokker_1999 • 3 augustus 2016 11:17

En je mobiele nummer invoeren om vervolgens een verificatie SMS te sturen naar dat nummer zoals Whatsapp, Telegram, etc toepassen vind jij 2FA?

Laloeka @xalvo • 4 augustus 2016 13:21

Telegram's 2FA werkt op basis van een SMS code gevolgd door een zelf in te stellen wachtwoord dat je alleen per e-mail (met een vertraging van 7 dagen) kunt resetten.

Zolang je óf je telefoonmaatschappij, óf je e-mail provider kunt vertrouwen, heb je dus een veilige bescherming tegen deze zogenaamde "hackers".

Daarnaast ontvang je op elk apparaat een melding als iemand probeert in te loggen op je account en wanneer iemand een verkeerd wachtwoord invoert.

Daarnaast kun je je telefoonnummer beschermen van je contacten. Als je je telefoonnummer dus nooit met iemand deelt en enkel en alleen via je gebruikersnaam met mensen communiceert, kan een hacker niet veel uithalen om toegang tot je account te verkrijgen.

[Reactie gewijzigd door Laloeka op 24 juli 2024 01:42]

xalvo @Laloeka • 5 augustus 2016 07:14

Lees mijn reactie.
Ik heb het niet over de aanvullende methoden, die Telegram zelf ook aanhaalt conform het artikel. Er zijn juist veel meer apps en systemen die op dit principe vertrouwen. Wellicht soms met optioneel aanvullende methoden na het eerst creëren van een account, maar genoeg die dat niet gebruiken.

En je telefoonnummer afschermen, in welke wereld leef jij?

bartvb

@Oyxl • 3 augustus 2016 08:43

Alleen gaat het in dit geval juist niet om two factor authentication. Bij applicaties als Telegram heb je over het algemeen maar 1 'factor', namelijk 'iets dat je hebt'; je telefoon. De suggestie van Telegram is om op two factor over te stappen door ook een 'iets dat je weet' aan toe te voegen, namelijk een wachtwoord.

Aan de andere kant laat dit ook zien dat SMS geen heel sterke factor is. Zeker niet als de overheid je tegenstander is.

supersnathan94 @bartvb • 3 augustus 2016 09:47

Of als je domme provider gewoon random nieuwe simkaarten opstuurt. We hebben het vorige maand kunnen zien met de youtube hacks.

Oyxl @bartvb • 3 augustus 2016 09:23

Excuses, ik mix hier inderdaad verificatie en authenticatie onterecht. Mijn fout.

Fire69 @Oyxl • 3 augustus 2016 09:39

Als je enkel sms gebruikt is het geen 2 step authentication meer?

anandus 3 augustus 2016 08:35

nieuws: NIST acht sms ongeschikt voor tweetrapsauthenticatie

Auteur

letatcest @anandus • 3 augustus 2016 08:47

Dat had ik idd. ook wel even in de tekst zelf kunnen zetten (done!). Ik hoop trouwens dat duidelijk genoeg is dat de hack niet bij Telegram plaatsvond maar bij de gebruikers zélf via vermoedelijk hun telefoonmaatschappij.

vv Om verdere verwarring te voorkomen, extra duidelijk in de lead gezet dat Telegram zélf niet onderschept gehackt is geweest.

[Reactie gewijzigd door letatcest op 24 juli 2024 01:42]

Devian @letatcest • 3 augustus 2016 08:50

Gezien sommige eerste reacties hier is dat niet helemaal duidelijk...

Eigenlijk staat dit geheel los van Telegram, en is het nieuwsbericht eerder dat Iraanse hackers samenwerken met Iraanse telecomproviders om SMS te onderscheppen wat o.a misbruikt kan worden bij applicaties zoals Telegram en Whatsapp...

Get!em @Devian • 3 augustus 2016 08:55

En toch is het relevant. De implementatie van de SMS verificatie code kan namelijk door Telegram (en welke andere app of organisatie) gemakkelijk uitgebreid worden.
a) wachtwoord zoals voorgesteld in artikel
b) 'pincode' als pre-fix op de sms token.
Waarbij de pincode een door de gebruiker ingestelde code is (bijv 4 cijferig), die bij Telegram als 2e wachtwoord bekend is.

Voorbeeld bij b):
Je krijgt dan bijv als SMS: 54321 als code
Je eigen ingestelde pincode is 6789
In te vullen in app: 678954321

Voor veel bedrijven is deze pincode al standaard praktijk voor bijvoorbeeld VPN verbindingen met token (sms of rsa-token)

Edit: artikel nogmaals gelezen met doel de Titel te verklaren: omgeschreven staat er het volgende:
"Telefoonnummers achterhaald van Telegram gebruikers."
Dit is dus niet te voorkomen door extra stappen te nemen aan app/website/organisatie kant als telefoonmaatschappij mee doet in de hack. In feite staat hier: we lezen je sms-inhoud en koppelen deze aan de apps die je gebruikt.
Bron artikel zegt echter dat ze de telegram-chat-history achterhaald hebben die bij de telefoonnummers door de sms token uit te lezen. Staat niet in artikel. Stuur ik nog in via geachte redactie.

[Reactie gewijzigd door Get!em op 24 juli 2024 01:42]

Laloeka @Get!em • 4 augustus 2016 13:27

Telegram biedt de optie al aan om een extra wachtwoord in te stellen. Iedereen die er ook maar 2 seconden tijd aan besteed kan hier gebruik van maken.

Dit is dus niet zozeer een voorstel van de onderzoekers als wel een aanbeveling voor Telegram gebruikers.

Get!em @Laloeka • 4 augustus 2016 14:02

Telegram biedt de optie al

Aanbeveling voor Telegram: maak het niet optioneel, maar verplicht wachtwoord instellen bij eerste gebruik.

Laloeka @Get!em • 4 augustus 2016 21:03

Stel het voor zou ik zeggen. In de Telegram app kun je contact opnemen met Support door onderaan het instellingen menu op 'Stel een Vraag' te tikken.

Als je het goed kunt beargumenteren heb je best een goede kans dat hier iets mee gedaan wordt.

Eager @Devian • 3 augustus 2016 09:20

Hackers in Iran wisten via een tiental Iraanse Telegram-accounts 15 miljoen telefoonnummers.

Wat wordt hiermee bedoeld? Werden de telefoonnummers gewist? Of de Telegram accounts? Of wisten de hackers zich toegang te verschaffen tot de Telegram accounts?

mg794613 @letatcest • 3 augustus 2016 10:15

Nee dit is niet duidelijk. Taaltechnisch is het correct. En ik ben een voorstander van begrijpend lezen, maar voor velen zal dit lezen als "een hack op telegram". afijn; Dankzij dit bericht toch maar even 2 weg auth aanzetten

-ION- 3 augustus 2016 08:22

Dit is dus eigenlijk eerder een hack van de telefoondienst. Er worden immers SMS berichten onderschept.

AibohphobiA BoB

@-ION- • 3 augustus 2016 10:21

Ja volgens mij deugt de kop van het bericht gewoon niet. Het is precies andersom. 'Telefoonnummers gehackt om toegang tot Telegram accounts te verkrijgen' zou beter zijn.

Nogne @AibohphobiA BoB • 3 augustus 2016 10:38

De titel deugt wel, alleen als je snel leest lijkt het alsof Telegram gehacked is. Maar begrijpend lezen is ook een kunst.

AibohphobiA BoB

@Nogne • 3 augustus 2016 16:16

De titel is inmiddels aangepast.
Dus nee, het deugde niet maar is nu beter.

gabba25 3 augustus 2016 09:05

Ik hoop dat twitter dit ook leest. Als een van de weinige bieden ze enkel 2 factor op basis van sms aan, van wat ik heb vernomen.

ShellGhost @gabba25 • 3 augustus 2016 09:17

Niet alleen Twitter. Onze belastingdienst doet hetzelfde. Telefoonnummer spoofen en je krijgt alle codes netjes afgeleverd. Via social engineering valt ook achter de digid codes te komen et voila.
Belachelijk dat ze niet via een openauth systeem werken.

WhatsappHack

Netwerk en systeembeheer

@gabba25 • 3 augustus 2016 14:12

Daar is opzich nog niet veel mis mee. In dit artikel gaat het om SMS als single factor. Je hoeft dus niets anders te weten, je moet enkel t smsje kunnen lezen/ontvangen.

Bij Twitter heb je eerst het account wachtwoord nodig en dan nog eens het SMSje. Dat is wel een redelijk groot verschil.

Firefly III 3 augustus 2016 08:27

Tja. Telegram schermt met hun "encryptie" en heel veel mensen zijn daar gevoelig voor. Zeker toen WhatsApp werd overgenomen door Facebook gingen een heleboel mensen over naar deze "veilige" chat-applicatie.

Maar eerlijk is eerlijk, dit kan WhatsApp volgens mij ook overkomen.

WhatsappHack

Netwerk en systeembeheer

@Firefly III • 3 augustus 2016 14:04

Niet echt, immers heeft WhatsApp geen cloud infra waar alles van je bewaard wordt. Bij het toepassen van deze methode op WhatsApp, zou je maximaal de nog niet afgeleverde berichten van de afgelopen 30 dagen kunnen krijgen en toekomstige berichten. Bij WhatsApp heeft de eindgebruiker dit echter direct door, omdat WhatsApp maar op één telefoon tegelijk actief mag zijn en dus zichzelf uitschakelt en een waarschuwing geeft. Telegram doet dat niet en zal gewoon blijven werken op alle devices, incl die van de eavesdropper.

Er is dus wel een window of opportunity, maar de impact bij WhatsApp is veel en veel lager dan bij Telegram. Overigens wordt bij WA gewerkt aan een 2factor methode om zelfs dit laatste gaatje te dichten, dan is t risico helemaal nul omdat de overheid dan zoveel smsjes kunnen onderscheppen als ze willen: maar er alsnog niet inkomen.

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 01:42]

MiesvanderLippe @WhatsappHack • 3 augustus 2016 23:16

Een jaar of twee terug was het zeker wel mogelijk om hetzelfde account op twee plekken tegelijk actief te hebben namelijk door gewoon dezelfde key te gebruiken. Dit kon ook heel lang bij Snapchat (Snappreffs ondersteunde dit), bij Snapchat kan je echter ook gewoon de geforceerde logout negeren met een Xposed module.

WhatsappHack

Netwerk en systeembeheer

@MiesvanderLippe • 4 augustus 2016 04:03

Het zou kunnen dat dit mogelijk is/was, echter is dat niet mogelijk via de uitgelegde methode waarbij de verificatie SMS wordt onderschept. Immers wordt dan een gloednieuwe sessie opgebouwd, en de oude sessie beëindigd; hetgeen je merkt aan je client omdat WhatsApp je er dan uittrapt. Aan enkel de SMS kan je overigens de session key niet aflezen. Wat dat betreft is het dus niet mogelijk om op twee plekken tegelijk online te zijn in de context van mijn reactie en dit nieuwsartikel: dan wordt de eerste sessie namelijk beëindigd en heeft de gebruiker dat direct tot erg snel door. (En als je beveiligingsinstellingen goed staan, krijg je als partij aan de andere kant ook meteen een waarschuwing dat de encryptiesleutels gewijzigd zijn.

Maarja... Ik ben benieuwd hoeveel mensen dan opnieuw de sleutels out-of-band controleren met elkaar. Doet geen hond waarschijnlijk.)

Tegenwoordig komt overigens bij wat je daar zegt nog een probleem kijken: end-to-end encryptie.
Je zult de private keys en ratchets moeten hebben zou je op de door jou beschreven manier op meerdere plekken tegelijk online willen zijn met WhatsApp én dan nog kunnen communiceren ook; een van de twee aangemelde toestellen zal de berichten niet kunnen ontsleutelen, en het meest waarschijnlijke is dat dat dus het toestel met de gestolen sessie is; die heeft immers niet meegedaan aan de key-exchange....
Eigenlijk moet je dan een constante lijn hebben met het originele toestel. En als je die toegang hebt, dan is het eigenlijk alweer overbodig om een eigen sessie te starten...

Je voert dan dus geen aanval uit op WhatsApp, maar op de telefoon waar WhatsApp op draait. Dat is dus geen zwakte in WhatsApp, maar vereist een lek in het toestel/het operating system op dat toestel.

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 01:42]

Verwijderd @Firefly III • 3 augustus 2016 15:08

Mensen zijn absoluut niet gevoelig voor encryptie. Men gebruikt gerust jarenlang niet-versleutelde chats apps zonder daar een seconde over na te denken. Men gebruik gerust niet-HTTPs sites op een public wifi.

WhatsappHack

Netwerk en systeembeheer

@Verwijderd • 3 augustus 2016 19:46

Men gebruik gerust niet-HTTPs sites op een public wifi.

Ze worden daar dan ook niet voor gewaarschuwd, en bijna niemand die 't snapt.
Dat is nog steeds een beetje krom. Voor een self-signed certificate krijg je een enorm rood scherm met "GA TERUG NAAR DE VEILIGHEID!!", terwijl er dan tenminste nog een vorm van versleuteling opzit; en bij plain-text maakt de browser verbinding zonder je te waarschuwen.

Het wordt tijd voor standaard TLS-encryptie over 't gehele WWW... En dan de CA's en SSL certificaten gewoon hun huidige rol laten behouden van authenticatie/verificatie.

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 01:42]

rodie83 3 augustus 2016 08:32

Het is natuurlijk niet echt een hack bij Telegram zelf te noemen. Het is meer dat er een SMS bericht is onderschept. Elke dienst die werkt met een SMS voor activatie kan op deze manier 'gehackt' worden.

Een woordvoerder van Telegram zegt dat gebruikers van de dienst zich tegen dergelijke aanvallen kunnen weren door niet alleen op sms-verificatie te vertrouwen. Dit is in te stellen door twee-staps-verificatie in te stellen. In dat geval kan een extra wachtwoord ingesteld worden, waardoor niet op een nieuw apparaat ingelogd kan worden zonder dat wachtwoord. Dit wachtwoord is wel via een 'recovery email' te achterhalen, maar als 'je herstel-e-mailaccount veilig is', zou dat geen probleem moeten zijn, aldus de woordvoerder.

En dat lijkt me dan ook een prima reactie van die woordvoerder.

WhatsappHack

Netwerk en systeembeheer

@rodie83 • 3 augustus 2016 14:08

Behalve dan dat hun API de hackers een lijst met Telegram accounts liet genereren, waarna er dus een voor een toegang tot de belangrijkste accounts verkregen kon worden door de SMS te onderscheppen.

Er zat dus wel degelijk een lek in die API. Vervolgens is het wel zo dat het oerstom is van de gebruikers om geen 2FA in te schakelen... Als je weet dat een app al je data in de cloud zet, dan vertrouw je nog enkel op een SMSje om toegang te krijgen tot die data?

Ik zou bijna zeggen dat je het dan verdient gehacked te worden, maar dat is niet zo... Immers weten mensen weinig van beveiliging en hadden ze beter geïnformeerd moeten worden over de risico's.

Hielke Hoeve 3 augustus 2016 08:38

Dit is dus het nadeel van 2fa via SMS. Het moet altijd via een 3e partij. Waarom geen totp? Sure het is minder makkelijk over te zetten op een nieuwe telefoon maar je bent er wel volledig eigen baas over.

[Reactie gewijzigd door Hielke Hoeve op 24 juli 2024 01:42]

ro8in 3 augustus 2016 09:43

Een aantal grote youtubbers zijn precies op dezelfde manier gehackt een tijd geleden.

De hackers hadden eerst de naw gegevens achterhaald vervolgens belde zij de telefoon maatschappij op met een adres wijziging om even later een nieuwe simkaart te laten opsturen. Daarna was het zo simpel als simkaartje in de telefoon en wachtwoord reset via 2 factor sms.

Sms voor authenticatie is niet veilig! Je bent volledig afhankelijk van je telefoon maatschappij hiervoor en die zijn te log en te makkelijk misleiden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (69)

Sorteer op:

Weergave: