Beveiligingsonderzoekers demonstreren spoofingkwetsbaarheden in WhatsApp

Onderzoekers van Check Point hebben enkele kwetsbaarheden in WhatsApp aangetroffen die te misbruiken zijn om berichten in groeps- en private chats te spoofen. De onderzoekers beschrijven drie aanvalsscenario's om valse berichten te plaatsen.

Volgens de onderzoekers kan met de kwetsbaarheden de identiteit worden aangepast van een persoon die quote in een groepschat. Daarnaast is de tekst van een conversatie te wijzigen, zodat het lijkt alsof de persoon in een privévenster berichten plaatst die diegene helemaal niet heeft verzonden. Ten slotte is in een groepschat een privébericht te sturen naar een persoon waarbij het antwoord van diegene voor iedereen in de groep zichtbaar is.

Volgens Check Point gaat het om belangrijke kwetsbaarheden, die WhatsApp moet dichten. Het bedrijf heeft de Facebook-dochter ingelicht over de bevindingen. Volgens Check Point is via de kwetsbaarheden valse informatie te verspreiden die afkomstig lijkt van authentieke bronnen.

Misbruik is echter niet eenvoudig. Aanvallers moeten hiervoor de private en publieke sleutels van chatsessies onderscheppen en een extensie van de beveiligingstool voor webapplicaties Burp Suite gebruiken. De sleutels zijn te onderscheppen via WhatsApp Web voordat de dienst een qr-code genereert. Vervolgens moet de data die de smartphone naar WhatsApp Web stuurt, bij het scannen van de qr-code worden onderschept. Ten slotte moeten die gegevens ingevoerd worden in de door Check Point ontwikkelde 'WhatsApp Decoder'-extensie voor Burp Suite. De impact van de kwetsbaarheden is laag door de te nemen stappen en de afhankelijkheid van het afvangen van WhatsApp Web-verkeer.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 08-08-2018 15:21 24

08-08-2018 • 15:21

24

Lees meer

Rapport: semiopenbare groepschats WhatsApp zijn in gebruik voor kinderporno
Rapport: semiopenbare groepschats WhatsApp zijn in gebruik voor kinderporno Nieuws van 21 december 2018
'WhatsApp dicht lek dat leidde tot crash na ontvangen van oproep'
'WhatsApp dicht lek dat leidde tot crash na ontvangen van oproep' Nieuws van 10 oktober 2018
'WhatsApp werkt aan donkere modus'
'WhatsApp werkt aan donkere modus' Nieuws van 14 september 2018
Back-up van WhatsApp gaat niet meer af van opslagcapaciteit Google Drive
Back-up van WhatsApp gaat niet meer af van opslagcapaciteit Google Drive Nieuws van 16 augustus 2018
Onderzoek: negentien apps voor het tracken van personen bevatten lekken
Onderzoek: negentien apps voor het tracken van personen bevatten lekken Nieuws van 12 augustus 2018
Zerodium biedt tot half miljoen dollar voor Signal- of WhatsApp-exploits
Zerodium biedt tot half miljoen dollar voor Signal- of WhatsApp-exploits Nieuws van 24 augustus 2017
'Grootschalige dataverzameling is mogelijk via ongedocumenteerde WhatsApp-api'
'Grootschalige dataverzameling is mogelijk via ongedocumenteerde WhatsApp-api' Nieuws van 8 mei 2017
WhatsApp en Telegram dichten webclient-lek dat hackers toegang gaf tot berichten
WhatsApp en Telegram dichten webclient-lek dat hackers toegang gaf tot berichten Nieuws van 15 maart 2017
Meer producten en artikelen
Beveiliging en antivirus Whatsapp

Reacties (24)

-Moderatie-faq
24
19
15
1
0
0
Wijzig sortering

Sorteer op:

Weergave:
crzyhiphopazn 8 augustus 2018 15:28
Mijn vraag is of Whatsapp desktop client hiermee ook geraakt kan worden.
Desktop gebruikt ook een QR code, maar gaat de data ook via dezelfde weg vanuit Whatsapp naar de client?

PS: heb er nog niet veel kaas van gegeten. Ben nog in de leer.
mrdemc @crzyhiphopazn8 augustus 2018 15:36
Ze gebruiken, zoals ik ook al had verwacht, de webclient hiervoor zoals in het filmpje is te zien.

Maar zoals in het filmpje ook te zien is is het wat mij betreft een storm in een glas water; het originele bericht staat aan beide kanten (ontvanger en verzender) er gewoon boven. Wat mij betreft heeft het dus pas impact als iemand een bericht quote naar een andere chat waar diegene het origineel niet kan zien. Daarom is het m.i. Verstandig om berichten te verifiëren bij de originele bron en niet af te gaan op van horen zeggen, ook digitaal.

Ik zou het ook niet omschrijven als spoofen, het originele bericht wordt in de quote veranderd wat in feite een eigen nieuw bericht is. De aanvaller stuurt niet namens de ander een bericht. Zelfs het laatste bericht is een eigen verstuurd bericht dat dan wel meerdere versies heeft, maar die verstuurt de ontvanger zelf.

[Reactie gewijzigd door mrdemc op 27 juli 2024 15:33]

LNDN @mrdemc8 augustus 2018 20:05
Enige wat gespoofd wordt is een 'quote'. Aangezien dát originele bericht nooit gestuurd is en de referentie code/permalink naar het echte bericht ongewijzigd is, zal je bij het tappen op de reply (om naar originele bericht te gaan) óf een dikke error/crash krijgen óf gewoon naar het bericht gaan dat is gebruikt om de spoof-reply mee aan te maken.

Dat zou ik op Tweakers, of elke forum waar je zelf html markup kan doen, ook kunnen.
robvanwijk @mrdemc8 augustus 2018 15:54
Daarom is het m.i. Verstandig om berichten te verifiëren bij de originele bron en niet af te gaan op van horen zeggen, ook digitaal.
Verstandig wel, maar in de praktijk doet niemand dat, dus het lijkt me niet handig om daarop te vertrouwen.
ImNotnoa @crzyhiphopazn8 augustus 2018 15:31
De QR code die je ziet als je je wilt aanmelden bij de Web applicatie is geen sleutel van de chatsessie. Dat is gewoon een soort "login" voor de webapp. Ik denk niet dat er met die code veel interessants te doen valt
Prinzie @crzyhiphopazn8 augustus 2018 15:31
Dit is geen versleuteling, hiermee maak je alleen een koppeling tussen je PC en je telefoon (met Whatsapp)
Azula @crzyhiphopazn8 augustus 2018 15:39
Die desktop client is niets meer dan eigenlijk een webpagina binnen een .exe bestand om even simpel te zeggen.
De website/desktop client sturen de berichten eigenlijk naar je telefoon en je telefoon stuurt de berichten door naar de servers. Je gaat dus nooit direct naar de WhatsApp servers vanaf je computer. Dat gebeurt alleen met de bestanden die je upload dacht ik.

Dus als jij wat stuurt op je computer, dan gaat het altijd naar je telefoon en je telefoon stuurt het bericht.
Dat is ook de reden dat je altijd je telefoon verbonden moet houden.

Dus ja, als het op de website kan, dan zou exact hetzelfde op de desktop client mogelijk moeten zijn.

[Reactie gewijzigd door Azula op 27 juli 2024 15:33]

bartje 8 augustus 2018 15:46
dat de berichten die gequote zijn aangepast kunnen worden lijkt me niet echt een grote bug,
het is iets dat jij verstuurd,
dat de quote afwijkt van het origineel is niet netjes, maar je eigen gestuurde bericht aan kunnen passen vind ik niet echt een bug.
MaffeMaarten @bartje8 augustus 2018 15:53
dat de berichten die gequote zijn aangepast kunnen worden lijkt me echt wel een grote bug,
het is iets dat jij verstuurt,
dat de quote afwijkt van het origineel is niet netjes, maar je eigen gestuurde bericht aan kunnen passen vindt ik wel echt een bug. Nu lijkt het net alsof ik iets zeg wat niet waar is.
Ter illustratie :P
bartje @MaffeMaarten8 augustus 2018 19:55
Dan kunnen we stellen dat tweakers deze zelfde bug bevat.
Azula @bartje8 augustus 2018 15:50
Je past niet je eigen gestuurde berichten aan, kijk eens goed naar het filmpje. Ze kunnen de berichten aanpassen die iemand anders gestuurd heeft en quoten het aangepaste bericht. Je past dus op een manier de berichten van de ander aan, niet volledig natuurlijk. Maar stel een heel gesprek komt er tussendoor, dan zal je het waarschijnlijk wel snel geloven.
Tout @bartje8 augustus 2018 15:55
dat de berichten die gequote zijn aangepast kunnen worden lijkt me een grote bug,
het is iets dat jij verstuurd,
dat de quote afwijkt van het origineel is niet netjes, je eigen gestuurde bericht aan kunnen passen vind ik echt een bug.
Zo dus ;)
robbinwehl 8 augustus 2018 15:58
Maar alle data komt binnen via adb shell niet via web
Toet3r @floens8 augustus 2018 15:47
Daar zitten ongetwijfeld ook nog wel kwetsbaarheden in die nog niet bekend zijn.
Geen enkele chat client is 100% veilig. Terug naar de postduif kan ook maar ook dat is niet helemaal veilig.
Verwijderd @floens8 augustus 2018 15:49
En dat is natuurlijk volkomen foutloos....
Ryan_ @floens8 augustus 2018 15:51
Zelfde protocol. Mogelijk dezelfde kwetsbaarheden.
WhatsappHack
@Ryan_8 augustus 2018 15:52
Verre van hetzelfde protocol. WhatsApp gebruikt Signal Protocol, Telegram gebruikt MTProto.
Verwijderd @floens8 augustus 2018 15:44
En Signal
Verwijderd @MrMonkE9 augustus 2018 10:20
ICQ, how could I forget O+

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq