Aanvaller met controle over WhatsApp-server kan leden toevoegen aan groep

Onderzoekers van de Ruhr-universiteit in Bochum hebben crypto-chatapps Signal, Threema en WhatsApp onderzocht. Ze komen tot de conclusie dat WhatsApp een aanvaller met controle over de server toestaat om zelfstandig mensen aan groepchats toe te voegen.

Daarvoor is geen interactie van de groepsbeheerders nodig, zo schrijven ze in een paper en leggen ze uit aan Wired. De site schrijft dat dit voortkomt uit een bug waardoor WhatsApp geen authenticatie gebruikt voor een uitnodiging van een nieuw groepslid. Een aanvaller, zoals een overheid, zou daarom een lid aan een bestaande groep kunnen toevoegen en alle berichten meelezen die vanaf dat moment worden verstuurd.

De leden van de groep zouden te zien krijgen dat er een nieuw lid is toegevoegd, maar de aanvaller zou het kunnen doen voorkomen alsof deze persoon door een van de beheerders is toegevoegd. Ook zou een aanvaller met controle over de server bijvoorbeeld selectief berichten kunnen blokkeren van personen die vragen stellen over de toevoeging.

Cryptograaf Matthew Green zegt tegen Wired dat dit niet mogelijk zou moeten zijn. "Als je een systeem bouwt waar alles ervan afhankelijk is dat je de server vertrouwt, dan kun je ook meteen alle complexiteit overboord gooien en end-to-endencryptie vergeten. Dit is een ernstige fout. Daar is geen excuus voor." Hij vindt het geen excuus dat een nieuw groepslid zou opvallen. "Dat is hetzelfde als wanneer je de voordeur van een bank openzet en vervolgens zegt dat niemand hem zal beroven omdat er een beveiligingscamera aanwezig is."

WhatsApp bevestigt het lek. Als de chatapp het lek zou willen dichten, kunnen WhatsApp-gebruikers geen leden meer voor een groepsgesprek uitnodigen door middel van een link en die stap lijkt het bedrijf niet te willen zetten. De onderzoekers hebben WhatsApp in juli van vorig jaar op de hoogte gesteld, maar kwamen niet in aanmerking voor een beloning binnen het bug bounty-programma van moederbedrijf Facebook, aldus Wired.

De onderzoekers vonden een soortgelijke mogelijkheid in Signal, maar daar moet een aanvaller ook bekend zijn met een groeps-id naast controle over de server. Een manier om die id te verkrijgen is door toegang tot de telefoon van een van de groepsleden. In dat geval zijn er echter ook andere gevaren. Ze vonden ook kleinere problemen in Threema, zoals message replay door een kwaadaardige server, die door de ontwikkelaars van de app zijn opgelost.

Whatsapp encryptie

Door Sander van Voorst

Nieuwsredacteur

Feedback • 10-01-2018 16:49 69

10-01-2018 • 16:49

69

Lees meer

Zerodium biedt tot half miljoen dollar voor Signal- of WhatsApp-exploits
Zerodium biedt tot half miljoen dollar voor Signal- of WhatsApp-exploits Nieuws van 24 augustus 2017
'Grootschalige dataverzameling is mogelijk via ongedocumenteerde WhatsApp-api'
'Grootschalige dataverzameling is mogelijk via ongedocumenteerde WhatsApp-api' Nieuws van 8 mei 2017
WhatsApp en Telegram dichten webclient-lek dat hackers toegang gaf tot berichten
WhatsApp en Telegram dichten webclient-lek dat hackers toegang gaf tot berichten Nieuws van 15 maart 2017
Beveiligingsexperts kritiseren The Guardian-artikel over WhatsApp-'backdoor'
Beveiligingsexperts kritiseren The Guardian-artikel over WhatsApp-'backdoor' Nieuws van 20 januari 2017
'WhatsApp laat kwetsbaarheid al bijna jaar ongewijzigd'
'WhatsApp laat kwetsbaarheid al bijna jaar ongewijzigd' Nieuws van 13 januari 2017
'Duitsland besteedt 150 miljoen euro aan kraken crypto-chatapps'
'Duitsland besteedt 150 miljoen euro aan kraken crypto-chatapps' Nieuws van 30 november 2016
Meer producten en artikelen
Privacy Netwerk en systeembeheer Security Signal Whatsapp

Reacties (69)

-Moderatie-faq
69
68
49
2
0
10
Wijzig sortering
Anonymoussaurus
10 januari 2018 17:19
:O Zoals verwacht stelt het minder voor dan ik had gedacht. Het is by design gedaan en het is een afweging die je moet maken tussen gebruiksvriendelijkheid/gemak en security. Als je niet toegevoegd wilt worden, blokkeer je de desbetreffende gebruiker die je toevoegt; dan lukt het hem/haar niet meer om jou toe te voegen.
Een aanvaller, zoals een overheid, zou daarom een lid aan een bestaande groep kunnen toevoegen en alle berichten meelezen die vanaf dat moment worden verstuurd.
Ehh, ja, dat is toch de hele functie van een groepsgesprek? Dat je met z'n allen in een groep zit en berichten naar elkaar kan sturen zodat iedereen het leest?
De leden van de groep zouden te zien krijgen dat er een nieuw lid is toegevoegd, maar de aanvaller zou het kunnen doen voorkomen alsof deze persoon door een van de beheerders is toegevoegd
Oke, oke, dan zou je op z'n minst het bericht kunnen veranderen als er iemand met een link wordt toegevoegd. Bijvoorbeeld "User X is toegevoegd middels een link". Vind het meer iets wat psychologisch is, dan dat je kan wijzen naar de applicatie.
Ook zou een aanvaller met controle over de server bijvoorbeeld selectief berichten kunnen blokkeren van personen die vragen stellen over de toevoeging.
Ik vraag mij af hoe ze dat denken. Alle berichten, media, calls en videocalls zijn end-to-end encrypted. Ook in groepen. Verder wordt er gebruik gemaakt van forward secrecy dus zijn oude berichten sowieso niet van de server af te lezen. Het kan überhaupt niet, want de private key wordt op het toestel lokaal opgeslagen. Je moet dus eerst die private key zien te bemachtigen, want anders kan je de berichten niet ontsleutelen. Alleen de public key staat op de servers van WhatsApp. Wat blijkbaar wel zo is, aldus Matthew Green, is dat Group Management Messages niet encrypted zijn: https://blog.cryptography...g-in-whatsapp-and-signal/ :
Additionally, group management messages are not end-to-end encrypted or signed. They’re sent to and from the WhatsApp server using transport encryption, but not the actual Signal protocol.
Vind het overigens een erg kromme vergelijking. Het is gewoon een functie die je kan misbruiken.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 23:31]

Anoniem: 890159 @Anonymoussaurus10 januari 2018 17:50
Ehh, ja, dat is toch de hele functie van een groepsgesprek? Dat je met z'n allen in een groep zit en berichten naar elkaar kan sturen zodat iedereen het leest?
Ja, maar als ik samen met een stel maten in de groep Hells Angels zit zou ik liever niet zien dat de politie daar stiekum een lid aan toevoegt en zo alles meekrijgt wat er besproken wordt.
Anonymoussaurus
@Anoniem: 89015910 januari 2018 18:00
Dat gaat opvallen, immers heeft niemand in die groep dát geprepareerde nummer opgeslagen.
P_Tingen @Anonymoussaurus11 januari 2018 08:55
Dat valt dus wel mee; als de politie in de Hells Angels app zit, zullen ze niet vrolijk mee gaan chatten. Het nummer is dus alleen te zien als je de lijst met groepsdeelnemers ziet. En ik zie niet in waarom daar niet nummers in kunnen zitten zonder gekoppelde naam. Sterker nog: als ik Hells Angel was zou ik misschien /juist/ zonder naam in zo'n groep willen zitten.
Tweekzor @P_Tingen11 januari 2018 10:41
Of ze gebruiken het nummer van een mol in de organisatie. Een persoon die wel bekend is in de groep maar wellicht nog niet genoeg vertrouwd was om te worden toegevoegd. Door de persoon dan vanaf de server toe te voegen denken mensen dat hij wel vertrouwd genoeg is.
GuruMeditation @Anoniem: 89015910 januari 2018 20:02
Of in een "buurtapp" waarvan ik regelmatig zelfs "verkeersborden" zie hangen.

Bij vrienden zag ik dat hun buren melden wanneer ze op vakantie waren etc.

Handig voor inbrekers (no pun intended).

[Reactie gewijzigd door GuruMeditation op 22 juli 2024 23:31]

Ruben0389 @GuruMeditation11 januari 2018 10:55
De laatste keer dat ik van inbrekers gehoord had hoorde ik niet dat ze top-grade hackers waren die de servers van whatsapp kunnen kraken :)
mashell @Anoniem: 89015910 januari 2018 18:02
Dat scenario maakt duidelijk dat dit misschien helemaal geen bug is maar een manier voor Whatsapp om aan de verplichting opsporing te ondersteuning te kunnen voldoen. Misschien bestaan er ook wel "onzichtbare" gebruikers.
Anoniem: 890159 @mashell10 januari 2018 22:55
Welke verplichting? Ze moeten gegevens overhandigen als justitie die opeist maar of justitie daar vervolgens iets mee kan is vers 2. Als het aan WA ligt kunnen ze daar zo min mogelijk mee denk ik.
pizzafried @Anonymoussaurus10 januari 2018 17:35
Volgens mij gaat het meer om het feit dat Hacker Harry een door hem zelf geprepareerd whatsapp account kan toevoegen aan een whatsappgroep naar keuze. Dus stel dat hacker Harry jou whatsapp groep op het oog heeft (en zelf wil meelezen), dan gaat ie in de server een door hem geprepareerd 06/whatsapp account toevoegen aan jou groepje. achter dat whatsapp account zit dan geen boze witte nederlander die niet aan het groepje wil worden toegevoegd natuurlijk ;).

En per design vind ik echt te kortzichtig.
Anonymoussaurus
@pizzafried10 januari 2018 17:59
Dan moet je dus eerst toegang tot de server verkrijgen, waarbij die kans al marginaal is. Ten tweede wordt er ineens iemand toegevoegd en blijkt iemand die persoon te hebben toegevoegd en niemand weet wie dat heeft gedaan; de server heeft dat namelijk gedaan (immers heeft niemand in die groep dát geprepareerde nummer opgeslagen). Als laatste zal het maar kort te misbruiken zijn, want probeer maar eens ongezien op een server te gaan rotzooien.
pizzafried @Anonymoussaurus10 januari 2018 18:02
dat laatste is niet moeilijk als er geen tot weinig monitoring plaats vindt.
Anonymoussaurus
@pizzafried10 januari 2018 18:05
Je mag van Moxie Marlinspike, die cryptograaf is en de oprichter is van Signal toch wel verwachten dat 'ie de servers goed beveiligd heeft (doet 'ie ook voor WhatsApp). Natuurlijk vindt er monitoring plaats. Dat is hetzelfde als stellen dat de wachtwoorden van Facebook en Google die je daar hebt, niet opgeslagen worden met een hash en salt 8)7.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 23:31]

Anoniem: 890159 @Anonymoussaurus10 januari 2018 22:57
Bij Signal ben je niet afhankelijk van de beveiliging van de server (afgezien van een hacker die de servers onbereikbaar maakt dan). Als iemand alles vanaf de server opslaat kan men alleen metadata krijgen over wiemet wie communiceert. Groepsdata wordt bij Signal decentraal opgeslagen op de telefoons zelf, die gegevens staan niet op de server.
GOTD @Anonymoussaurus10 januari 2018 17:50
Ben ik met je eens, het is een fout die opgelost moet worden maar zo veel is er nu ook weer niet aan de hand. Als jij geheime gesprekken voert en er wordt een nummer toegevoegd dat je niet kent zul je toch altijd eerst eens vragen wie dat precies is.
Anonymoussaurus
@43436510 januari 2018 20:07
Nee, dat heet kennis.
434365 @Anonymoussaurus10 januari 2018 20:15
- Het gaat over dat iemand zichzelf toe kan voegen aan een gesloten chatgroep, dus nee, dat is geen functie, maar een serieus probleem, helemaal met 'whatsapp voor bedrijven' voor de deur.
- Leuk dat jij al een oplossing weet tegen het verbergen van een toegevoegde gebruiker, maar ook dat doet niets af aan het feit dat het momenteel wel kan.
- Om een bericht te blokkeren hoef je dat bericht nog niet te kunnen lezen (wat zo iemand trouwens op dat moment wel via WhatsApp kan, dus het is gewoon een kwestie van kijken naar recente reacties en die tegenhouden)

Oh en je hebt hopelijk wel gehoord over Meltdown & Spectre? die private key is dus ook niet meer zo private.

Uiteindelijk komt het hier op neer, onderzoekers die bezig zijn geweest met het misbruiken van chat-apps zoals WhatsApp en hebben daar problemen in gevonden, nou weet ik natuurlijk niet of jij ook zulk onderzoek doet, maar ik ben van jou bijvoorbeeld nog geen rapport tegen gekomen wat het (met onderbouwing) tegen spreekt? Dus zou je er goed aan doen even te luisteren/lezen, en niet meteen in de verdediging te schieten omdat je denkt meer kennis te hebben van de werking van dit soort apps dan de mensen in dit onderzoek.
Anonymoussaurus
@43436511 januari 2018 10:38
Ja, en hoe? :') Weet je wat je allemaal moet doen om deze aanval succesvol te laten verlopen?
  1. De servers zien binnen te dringen en dit volledig onopgemerkt doen
  2. De code manipuleren zonder dat je wordt opgemerkt
  3. Je moet een target vaststellen en kunnen vinden
  4. Vrijwel iedereen in de groep zal doorhebben dat een onbekend nummer, een ander onbekend nummer toevoegt. Immers heeft niemand in de groep één van de 2 nummers
  5. De beheerder moet een link gemaakt hebben.
Natuurlijk heb ik gehoord over Meltdown en Spectre. Dat heeft geen reet met een private key te maken.

Ik doe niet zulk onderzoek, het is meer dat ik mij veel inlees. Ik zeg ook helemaal niet dat ik beter ben dan zij in dit soort dingen. Ik weet vrijwel zeker dat ik dat niet ben. De reden dat ik 'in de verdediging schiet', is omdat je de ongefundeerde opmerking maakt dat ik struisvogel-gedrag vertoon.

[Reactie gewijzigd door Anonymoussaurus op 22 juli 2024 23:31]

434365 @Anonymoussaurus11 januari 2018 23:10
Goed om te horen dat je nu wel het artikel heb gelezen (not) :+
Natuurlijk heb ik gehoord over Meltdown en Spectre. Dat heeft geen reet met een private key te maken.
Lol.
BSOD baby 10 januari 2018 16:59
Misschien handig om te vermelden waarom de onderzoekers niet in aanmerking kwamen voor een bounty en waarom het lek nu pas naar buiten is gekomen?
WhatsappHack
@BSOD baby10 januari 2018 18:37
Omdat WhatsApp het waarschijnlijk ziet als trade-off voor gebruiksgemak en het derhalve niet direct als bedreiging ziet.

Je moet namelijk A) de WhatsApp servers hacken en dit 100% ongemerkt doen B) Weten hoe je dit vervolgens moet manipuleren, nog altijd zonder op te vallen en C) erachter komen welke groep het precies is en hoe je die vindt D) de beheerder en de leden van de groep moet het niet opvallen dat er een volstrekt vreemde opeens aan de groep is toegevoegd E) De beheerder moet al een link gemaakt hebben, anders weet hij/zij direct dat t niet klopt dat hij/zij iemand niet heeft toegevoegd F) niemand die de beveiligingssleutel controleert.

Dat zijn een aantal big if’s voordat het succesvol te misbruiken valt. Behalve punt F, want daar is vrijwel iedereen universeel te lui voor geloof ik. :+ En punt E is wellicht lastiger als er meerdere beheerders in de groep zijn.

Dat hele systeem met linkjes is namelijk sowieso eigenlijk al een klein risico, immers als jij iemand een link geeft en vervolgens zelf de link niet intrekt dan kan die persoon de link ook gewoon weer delen en iemand toevoegen. Als die persoon een spreekwoordelijke fallus is dan zou hij/zij die link ook aan een overheid of iemand anders met slechte intenties kunnen geven. Sommige mensen willen dat juist overigens en gebruiken het als het ware als een soort openbare groep die iedereen mag joinen, all they have to do is click the link.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 23:31]

P1nGu1n 10 januari 2018 16:53
Hij vindt het geen excuus dat een nieuw groepslid zou opvallen. "Dat is hetzelfde als wanneer je de voordeur van een bank openzet en vervolgens zegt dat niemand hem zal beroven omdat er een beveiligingscamera aanwezig is."
Wat een belachelijke vergelijking... 8)7
IJzerlijm @P1nGu1n10 januari 2018 16:55
Eerder dat er iemand binnenkomt en bij je aan tafel gaat zitten zonder dat je het merkt.
kuurtjes @IJzerlijm10 januari 2018 19:20
Als je met 20 op cafe bent, en iedereen is lekker aan het praten, dan zou zoiets mij ook niet opvallen :)
vrow @P1nGu1n10 januari 2018 17:14
Valt toch wel mee?
WhatsApp zegt: 'wij hoeven dit niet te fixen, want je ziet het wel als er iemand binnenkomt.'
Daar zijn zij het niet mee eens en vinden dat hetzelfde als je voordeur 's nachts open laten staan omdat je toch een camera boven de deur hebt hangen.
En dat klopt wel - beide is misschien niet even 'erg', maar ook al heb je een camera, dan nog doe je deur wel op slot.
En dat is hier hetzelfde: ook al krijg je een melding, dan toch zou 'de deur' gesloten moeten worden zodat het niet kan.
RangerBoBNL @P1nGu1n10 januari 2018 18:06
Inderdaad.

Er is namelijk geen deur.
Of beter gezegd, er staat ergens een groepje mensen waar je een hek (met deur) omheen zou kunnen zetten.
Doe je dit niet dan zou er iemand bij kunnen gaan staan.

Natuurlijk moet je dit aanpassen met de optie tot een hek.
Zeggen dat men dit toch wel merkt is natuurlijk erg kortzichtig!
Bij kleine groepen merk je het wel als er iemand bij komt als er 1 beheerder is die actief leden screent.
Bij 2 (of meer) admins bij zo'n groep krijg je al meteen verwarring als men dit niet actief administreert.
DJVG 10 januari 2018 16:56
Heeft iemand met de controle over een WhatsApp server niet veel meer aan andere informatie? Ik neem aan dat de onderzoekers een server bedoelen bij WhatsApp zelf en volgens mij is het laatste wat de aanvaller wilt doen iemand toevoegen aan een groepsgesprek, lijkt mij.
Olaf van der Spek @DJVG10 januari 2018 16:59
Vanwege end-to-end encryptie in principe niet..
Rannasha @Olaf van der Spek10 januari 2018 17:31
Ook met end-to-end encryptie is er voor iemand die toegang heeft tot de server best veel te leren. Je kunt statistieken bijhouden over wie contact heeft met wie en wanneer en op die manier toch best veel leren over bepaalde mensen, ondanks dat je de daadwerkelijke gesprekken niet in kunt zien.

Uiteraard kun je als je iemand toe kunt voegen aan een groepsgesprek, daarna alles uit dat groepsgesprek meelezen, dus daar is potentieel nog meer te halen. Maar dit werkt alleen bij groepsgesprekken, niet bij 1-op-1 chats en het vereist dat de leden van de groep niet wantrouwig raken als er opeens een onbekend persoon aan de groep wordt toegevoegd.
Anonymoussaurus
@Rannasha10 januari 2018 17:44
Dat is een leuke. Ik heb ongeveer 250 contacten op WhatsApp. Ik durf te wedden dat 80% tegelijkertijd met mij online is, of op dezelfde tijd voor het laatst online gezien is. Weet jij dan met wie ik aan het chatten ben van die 80%? Nee, dat gaat dan gokken worden.
.oisyn Moderator Devschuur® @Anonymoussaurus10 januari 2018 17:52
Whatsapp relayt toch gewoon de berichten van verzender naar ontvanger? En heeft als zodanig toch gewoon inzicht wie met wie communiceert?
Anonymoussaurus
@.oisyn10 januari 2018 18:11
@CurtPoindexter Nee, dat weet WhatsApp niet, omdat ook dat versleuteld wordt: https://www.whatsapp.com/...p-Security-Whitepaper.pdf
Verifying Keys

WhatsApp users additionally have the option to verify the keys of
the other users with whom they are communicating so that they
are able to confirm that an unauthorized third party (or WhatsApp)
has not initiated a man-in-the-middle attack. This can be done
by scanning a QR code, or by comparing a 60-digit number.
.oisyn Moderator Devschuur® @Anonymoussaurus10 januari 2018 18:14
Dat is niet wat ik zeg. Ik zeg dat Whatsapp als relay server kan zien wie met wie communiceert. Het stukje dat jij daar quotet toont alleen maar aan dat ze de inhoud niet kunnen kezen.
Anonymoussaurus
@.oisyn10 januari 2018 18:20
@CurtPoindexter Alle telefoonnummers worden gehashed opgeslagen op de servers van WhatsApp. Net als de metadata, dus kan WhatsApp nooit een telefoonnummer aan een WhatsApp-naam koppelen.
.oisyn Moderator Devschuur® @Anonymoussaurus10 januari 2018 18:27
Dat is een wassen neus, het aantal mogelijk verschillende telefoonnummers is zwaar gelimiteerd, een brute force attack om een hash terug te zetten naar telefoonnummer is extreem simpel.
Anonymoussaurus
@.oisyn10 januari 2018 18:29
Als we er per direct vanuit gaan dat WhatsApp een zeer zwakke hashing gebruikt zonder salt, dan wel ja. Echter mag je verwachten dat WhatsApp z'n zaakjes met dat soort dingen op orde heeft. Hier ook al uitgelegd: Anonymoussaurus in 'nieuws: Aanvaller met controle over WhatsApp-server kan leden...
.oisyn Moderator Devschuur® @Anonymoussaurus10 januari 2018 18:37
Per user salts werken niet, je moet immers iemand globaal kunnen identificeren met alleen een telefoonnummer.

En natuurlijk kun je key stretching technieken gebruiken om het hashen duurder te maken, maar je opties zijn gelimiteerd want je wil niet dat een langzaam consumer device uren bezig ia met het hashen van zijn adresboek de eerste keer.
Rav @Anonymoussaurus10 januari 2018 20:53
Echter mag je verwachten dat WhatsApp z'n zaakjes met dat soort dingen op orde heeft.
Volgens mij toont dit artikel juist aan dat WhatsApp niet al zijn zaakjes op orde heeft.
WhatsappHack
@.oisyn10 januari 2018 18:46
Dat klopt, ze houden metadata bij en kunnen dat derhalve zien. @Anonymoussaurus is denk ik in de war met de contactenlijst van de gebruiker, die wordt inderdaad relatief sterk gehasht opgeslagen.

Het telefoonnummer van de account zelf is natuurlijk inzichtelijk voor WhatsApp en genereren ook metadata. Ook daar zit geen naam aan verbonden, maar ze kunnen uiteraard zien welk telefoonnummer (account) met welk ander telefoonnummer (account) communiceert.
Anoniem: 890159 @Anonymoussaurus10 januari 2018 17:54
Maar als er iemand aan een groepschat toegevoegd wordt krijg je dat te zien.
Anonymoussaurus
@Anoniem: 89015910 januari 2018 18:15
Ja, maar zoals ik in een andere reactie zei, heeft niemand in die groep dát geprepareerde nummer opgeslagen dus niemand weet wie dat is. Dan zullen er toch wel lampjes moeten branden. Tante Truus heeft dat misschien niet door, maar dat is een ander verhaal.
.oisyn Moderator Devschuur® @Anonymoussaurus10 januari 2018 18:29
Je hoeft ook niet te weten wie het is. Puur het feit dat er ineens iemand bijkomt zonder dat de admin dat gedaan heeft is al genoeg.
Anonymoussaurus
@.oisyn10 januari 2018 18:30
Ja dat weet ik, maar dan moeten er wel lampjes gaan branden. Niet iedereen heeft dat door, daar ben ik het mee eens.
vSchooten @.oisyn11 januari 2018 09:34
Zoals het staat aangegeven kunnen ze die berichten aanpassen. Het zou heel goed kunnen dat je dan ziet "user0 toegevoegd door admin". Het maakt het niet onmogelijk maar wel lastiger om te herkennen.
WhatsappHack
@Anonymoussaurus10 januari 2018 19:03
Theoretisch gezien zou je na flink wat social engineering en linkjes leggen wel een educated guess kunnen maken welk nummer een grote kans biedt dat mensen je herkennen als iemand die zij kennen ALS je de controle over dat nummer geheel weet te krijgen. De vraag is dan alleen of je als aanvaller het risico durft te lopen daarop te gaan gokken, gezien het je hele aanval ook juist opvallend kan maken. (“He!? Henk had toch een nieuw nummer???”)

Probleem is wel dat je dan op voorhand al moet weten WIE er in die groep zitten, maar als je eenmaal de server hebt gehackt en exact weet hoe het hele systeem werkt is dat wel te achterhalen; al moet je dan ook nog weten wie de mensen zijn achter de telefoonnummers die in die groep zitten voordat je ubehaupt kan gaan proberen te social engineeren. :+ Dat is nogal een obstakel zegmaar.

Het moet allemaal nogal spectaculair mis gaan en er zitten bizar veel “maar” en “als” aan vast, maar in theorie met heeeeeel veel werk zou dit zo gebruikt kunnen worden. Maarja, dat is weer een laag... Ze moeten ook al de server hacken zonder op te vallen, weten hoe ze die moeten manipuleren, niemand moet de codes controleren, et cetera.

Er is een window of opportunity, maar je moet er verrekte hard tegen schoppen en allejezus veel mazzel hebben voordat je dat raam kan openmaken; en je ook nog de mazzel moet hebben dat je niet linea recta weer uit de groep wordt getrapt door de beheerder.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 23:31]

Anoniem: 890159 @WhatsappHack10 januari 2018 19:30
Nou, als de politie alle nummers in een groepschat afluistert weten ze meestal vrij snel wie de gebruiker is denk ik. Alleen die extra persoon toevoegen kan snel opvallen: "He, Henk zit vast en opeens zit hij in onze groepschat? Dat stinkt, groepschat dumpen en nieuwe nummers nemen".
CurtPoindexter @Anonymoussaurus10 januari 2018 17:53
WhatsApp weet met wie jij chat natuurlijk. Die info is gewoon beschikbaar, zonder encryptie.
Armin
@Rannasha10 januari 2018 19:06
Maar dit werkt alleen bij groepsgesprekken, niet bij 1-op-1 chats en het vereist dat de leden van de groep niet wantrouwig raken als er opeens een onbekend persoon aan de groep wordt toegevoegd.

Precies, en als het een groep is waar je de leden toch al niet allemaal goed kent, ga je toch al niet die speciale 'geheime' zaken delen neem ik aan.
TweakTom92 @DJVG10 januari 2018 17:02
...en volgens mij is het laatste wat de aanvaller wilt doen iemand toevoegen aan een groepsgesprek, lijkt mij.
Als dat het enige is wat een aanvaller kan (want berichten lezen kan niet met controle over diezelfde server) is dat toch wat hij zal doen.

Denk maar aan de zogenaamde 'buurt whatsappgroepen' van tegenwoordig. Iemand die daar in zit kan alles meelezen, kijken of ze opgemerkt worden door buren en eventueel zelf berichten plaatsen als: 'oh nee die man ken ik, hij haalt even wat uit mijn achtertuin en gaat daarna weer weg'.
DJVG @TweakTom9210 januari 2018 17:09
Dat begrijp ik natuurlijk, het gaat mij er mee om dat zo iemand veel meer kan bereiken door zich een lange tijd op te houden op een apparaat en verkeer in de gaten te houden of vanaf die ene server naar andere delen van het netwerk kan gaan. Iemand met toegang tot een dergelijke server zal dat niet gebruiken om simpel berichten te onderscheppen uit een WhatsApp-groep.

Dit staat verder los van het feit dat WhatsApp het lek moet dichten, want dat moet gewoon gebeuren.
mrdemc @DJVG10 januari 2018 17:38
Wel als het adhv een verzoek wordt gedaan door WhatsApp zelf via een FISA verzoek. Zou me niets verbazen als dit ook al wordt gebruikt en zelfs bewust is. Er zijn tenslotte voldoende nieuwsberichten te vinden waarin IS-leden worden opgepakt vanwege berichten in een Signal of Whatsapp groep te vinden.
Dit zou dus die berichten verklaren, en ook verklaren waarom Whatsapp het niet ‘kan’ fixen en er geen bounty is uitgereikt.

[Reactie gewijzigd door mrdemc op 22 juli 2024 23:31]

Anoniem: 890159 @mrdemc10 januari 2018 17:52
Kortom, geheime zaken bespreek je in een een op een chat en niet in een groepschat.
SinergyX 10 januari 2018 17:10
Even buiten dat het dus niet echt simpel is om 'controle over de server' te krijgen, vind ik dit wel een aardige statement:
Als je een systeem bouwt waar alles ervan afhankelijk is dat je de server vertrouwt, dan kun je ook meteen alle complexiteit overboord gooien en end-to-endencryptie vergeten
Goed, z'n vergelijking naar de bank begrijp ik niet helemaal, maar principe erachter is best interessant. Als wij bepaald moment de meest exotische verificaties moeten doen om op een site te komen, maar vervolgens blijkt de site/server zelf helemaal niet zo veilig te zijn. Zou ik eerder een vergelijking maken dat jij voor een belangrijk gesprek je 10x moet identificeren alvorens het pand binnen te mogen, maar dat vervolgens de schoonmaker en koffiedame van dat pand het gesprek vrij kunnen mee luisteren.
Melantrix @SinergyX10 januari 2018 17:22
[...]

maar dat vervolgens de schoonmaker en koffiedame van dat pand het gesprek vrij kunnen mee luisteren.
Die met geen verificatie zijn binnengekomen ;)

[Reactie gewijzigd door Melantrix op 22 juli 2024 23:31]

smiba 10 januari 2018 16:55
Tja ben niet echt onder de indruk om eerlijk te zijn, dit leek me redelijk te verwachten dat de WhatsApp server in the end natuurlijk aan de touwtjes kan trekken.

Het belangrijkste is dat je berichten wel encrypted zijn en dat het zichtbaar is zodra er nieuwe mensen zijn toegevoegd.
Jaahp @smiba10 januari 2018 18:04
Lekker lomp als "Henk de Vries" tegelijk in elke groepschat verschijnt.
Mocro_Pimp® 10 januari 2018 18:18
Is er ook uit te sluiten dat de eigenaar van de servers, Facebook dus, dit niet allang (kunnen) doen. Eventueel met onderdrukking van het "Persoon a is toegevoegd aan dit gesprek"-melding.
kasperkb @Mocro_Pimp®10 januari 2018 20:51
Misschien hebben ze bij Facebook al bij elke WhatsApp-groeps-chat standaard een verborgen account meegeleverd die alle teksten scant en op basis van matches met Facebook telefoonnummers jou hele mooie advertenties voorschotelt. :D
core_dump 11 januari 2018 08:08
Wat een onzin nieuws..

Een aanvaller die de controle over een willekeurige server krijgt kan daar inderdaad acties op uitvoeren... "Aanvallers die de controle over een SQL server krijgen kunnen tables droppen"

Verder in dezelfde categorie nieuws: "water is nat"
arnieo 10 januari 2018 16:58
"Als de chatapp het lek zou willen dichten, kunnen WhatsApp-gebruikers geen leden meer voor een groepsgesprek uitnodigen door middel van een link en die stap lijkt het bedrijf niet te willen zetten."

Of je zorgt dat een beheerder uitnodigingen via deze weg moet accepteren. Dan zou het wel weer "veilig" kunnen toch? Of denk ik nu te kort door de bocht.
biglia @arnieo10 januari 2018 17:10
Dus je stuurt als beheerder een uitnodiging dmv een link, vervolgens moet iemand die uitnodiging accepteren en daarna moet de beheerder die acceptatie opnieuw accepteren?
arnieo @biglia10 januari 2018 17:12
Lijkt mij dat als je vanuit de beheerder de link stuurt je al een verificatie slag gemaakt hebt. In hoeverre die link dan veilig is weet ik niet. Dat is de vraag natuurlijk

Als andere gebruikers (dus niet de beheerder, als dat al mogelijk is) via een link mensen uitnodigt is deze extra verificatie wellicht wel verstandig.

Daarnaast kan het linkje wat de beheerder verstuurd ook verspreid worden naar de "verkeerde" personen die je niet in je groep wil hebben. Dus die dubbele acceptatie kan in die zin ook nuttig zijn.

[Reactie gewijzigd door arnieo op 22 juli 2024 23:31]

mrdemc @arnieo10 januari 2018 17:40
Inderdaad. En sta dan bijv. Een eerste bericht toe aan de beheerder zelf via een nieuw gesprek zodat de persoon zich wel kan identificeren.
WhatsappHack
@mrdemc10 januari 2018 18:53
Dat is eigenlijk de pest... :+
Het is al de bedoeling dat mensen out-of-band de beveiligingssleutels met elkaar verifiëren om zeker te weten met wie ze chatten... Ook in groepen! Maar in de praktijk is bijna iedereen er te lui voor, zoals gewoonlijk als t op beveiliging aankomt. :P

Er is dus al een mechanisme voor authenticatie/verificatie ingebouwd die prima werkt, maar veel mensen laten dat links liggen... Terwijl dat wel een beveiligingslaag is die problemen met een aanval zoals deze tot op grote hoogte elimineert als men zich er gewoon aan houdt. Maarja, het kost nou eenmaal even een minuutje tijd om te doen he :P

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 23:31]

WhatsappHack
@arnieo10 januari 2018 18:49
De link is te gebruiken door iedereen tot je de link intrekt. Ik zelf trek de link in nadat de gene aan wie ik hem heb gegeven heeft gebruikt of nadat hij z’n doel heeft voltooid (eg: iedereen in team x mag gedurende 48-uur besluiten deel te nemen door op de link te klikken. Daarna gaat de link weg en gaan we van start.)
Tom970G1 10 januari 2018 16:52
Och jee! Eerst leakt Intel en nu whatsapp. Ik ga weer onder een steen leven :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq