Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsonderzoekers demonstreren spoofingkwetsbaarheden in WhatsApp

Onderzoekers van Check Point hebben enkele kwetsbaarheden in WhatsApp aangetroffen die te misbruiken zijn om berichten in groeps- en private chats te spoofen. De onderzoekers beschrijven drie aanvalsscenario's om valse berichten te plaatsen.

Volgens de onderzoekers kan met de kwetsbaarheden de identiteit worden aangepast van een persoon die quote in een groepschat. Daarnaast is de tekst van een conversatie te wijzigen, zodat het lijkt alsof de persoon in een privévenster berichten plaatst die diegene helemaal niet heeft verzonden. Ten slotte is in een groepschat een privébericht te sturen naar een persoon waarbij het antwoord van diegene voor iedereen in de groep zichtbaar is.

Volgens Check Point gaat het om belangrijke kwetsbaarheden, die WhatsApp moet dichten. Het bedrijf heeft de Facebook-dochter ingelicht over de bevindingen. Volgens Check Point is via de kwetsbaarheden valse informatie te verspreiden die afkomstig lijkt van authentieke bronnen.

Misbruik is echter niet eenvoudig. Aanvallers moeten hiervoor de private en publieke sleutels van chatsessies onderscheppen en een extensie van de beveiligingstool voor webapplicaties Burp Suite gebruiken. De sleutels zijn te onderscheppen via WhatsApp Web voordat de dienst een qr-code genereert. Vervolgens moet de data die de smartphone naar WhatsApp Web stuurt, bij het scannen van de qr-code worden onderschept. Ten slotte moeten die gegevens ingevoerd worden in de door Check Point ontwikkelde 'WhatsApp Decoder'-extensie voor Burp Suite. De impact van de kwetsbaarheden is laag door de te nemen stappen en de afhankelijkheid van het afvangen van WhatsApp Web-verkeer.

Door Olaf van Miltenburg

Nieuwscoördinator

08-08-2018 • 15:21

24 Linkedin Google+

Reacties (24)

Wijzig sortering
Mijn vraag is of Whatsapp desktop client hiermee ook geraakt kan worden.
Desktop gebruikt ook een QR code, maar gaat de data ook via dezelfde weg vanuit Whatsapp naar de client?

PS: heb er nog niet veel kaas van gegeten. Ben nog in de leer.
Ze gebruiken, zoals ik ook al had verwacht, de webclient hiervoor zoals in het filmpje is te zien.

Maar zoals in het filmpje ook te zien is is het wat mij betreft een storm in een glas water; het originele bericht staat aan beide kanten (ontvanger en verzender) er gewoon boven. Wat mij betreft heeft het dus pas impact als iemand een bericht quote naar een andere chat waar diegene het origineel niet kan zien. Daarom is het m.i. Verstandig om berichten te verifiëren bij de originele bron en niet af te gaan op van horen zeggen, ook digitaal.

Ik zou het ook niet omschrijven als spoofen, het originele bericht wordt in de quote veranderd wat in feite een eigen nieuw bericht is. De aanvaller stuurt niet namens de ander een bericht. Zelfs het laatste bericht is een eigen verstuurd bericht dat dan wel meerdere versies heeft, maar die verstuurt de ontvanger zelf.

[Reactie gewijzigd door mrdemc op 8 augustus 2018 15:41]

Enige wat gespoofd wordt is een 'quote'. Aangezien dát originele bericht nooit gestuurd is en de referentie code/permalink naar het echte bericht ongewijzigd is, zal je bij het tappen op de reply (om naar originele bericht te gaan) óf een dikke error/crash krijgen óf gewoon naar het bericht gaan dat is gebruikt om de spoof-reply mee aan te maken.

Dat zou ik op Tweakers, of elke forum waar je zelf html markup kan doen, ook kunnen.
Daarom is het m.i. Verstandig om berichten te verifiëren bij de originele bron en niet af te gaan op van horen zeggen, ook digitaal.
Verstandig wel, maar in de praktijk doet niemand dat, dus het lijkt me niet handig om daarop te vertrouwen.
De QR code die je ziet als je je wilt aanmelden bij de Web applicatie is geen sleutel van de chatsessie. Dat is gewoon een soort "login" voor de webapp. Ik denk niet dat er met die code veel interessants te doen valt
Dit is geen versleuteling, hiermee maak je alleen een koppeling tussen je PC en je telefoon (met Whatsapp)
Die desktop client is niets meer dan eigenlijk een webpagina binnen een .exe bestand om even simpel te zeggen.
De website/desktop client sturen de berichten eigenlijk naar je telefoon en je telefoon stuurt de berichten door naar de servers. Je gaat dus nooit direct naar de WhatsApp servers vanaf je computer. Dat gebeurt alleen met de bestanden die je upload dacht ik.

Dus als jij wat stuurt op je computer, dan gaat het altijd naar je telefoon en je telefoon stuurt het bericht.
Dat is ook de reden dat je altijd je telefoon verbonden moet houden.

Dus ja, als het op de website kan, dan zou exact hetzelfde op de desktop client mogelijk moeten zijn.

[Reactie gewijzigd door Azula op 8 augustus 2018 15:46]

dat de berichten die gequote zijn aangepast kunnen worden lijkt me niet echt een grote bug,
het is iets dat jij verstuurd,
dat de quote afwijkt van het origineel is niet netjes, maar je eigen gestuurde bericht aan kunnen passen vind ik niet echt een bug.
dat de berichten die gequote zijn aangepast kunnen worden lijkt me echt wel een grote bug,
het is iets dat jij verstuurt,
dat de quote afwijkt van het origineel is niet netjes, maar je eigen gestuurde bericht aan kunnen passen vindt ik wel echt een bug. Nu lijkt het net alsof ik iets zeg wat niet waar is.
Ter illustratie :P
Dan kunnen we stellen dat tweakers deze zelfde bug bevat.
Je past niet je eigen gestuurde berichten aan, kijk eens goed naar het filmpje. Ze kunnen de berichten aanpassen die iemand anders gestuurd heeft en quoten het aangepaste bericht. Je past dus op een manier de berichten van de ander aan, niet volledig natuurlijk. Maar stel een heel gesprek komt er tussendoor, dan zal je het waarschijnlijk wel snel geloven.
dat de berichten die gequote zijn aangepast kunnen worden lijkt me een grote bug,
het is iets dat jij verstuurd,
dat de quote afwijkt van het origineel is niet netjes, je eigen gestuurde bericht aan kunnen passen vind ik echt een bug.
Zo dus ;)
Maar alle data komt binnen via adb shell niet via web
Daar zitten ongetwijfeld ook nog wel kwetsbaarheden in die nog niet bekend zijn.
Geen enkele chat client is 100% veilig. Terug naar de postduif kan ook maar ook dat is niet helemaal veilig.
En dat is natuurlijk volkomen foutloos....
Zelfde protocol. Mogelijk dezelfde kwetsbaarheden.
Verre van hetzelfde protocol. WhatsApp gebruikt Signal Protocol, Telegram gebruikt MTProto.


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True