Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

WhatsApp fixt bug die verspreiding spyware mogelijk maakte - update

WhatsApp bevestigt dat het afgelopen dagen aan de kant van servers en gebruikers een fix heeft uitgerold voor een kwetsbaarheid in zijn app. Die kwetsbaarheid maakte het mogelijk om via WhatsApp-bellen spyware te verspreiden om smartphonegebruikers te bespioneren.

De exacte details zijn nog niet bekend, maar de exploit misbruikte het voip-systeem in WhatsApp om binnen te dringen in iOS of Android, zegt Financial Times. Vervolgens zou het mogelijk zijn geweest om smartphonegebruikers te bespioneren. De fix op servers is er sinds vrijdag, terwijl gebruikers vanaf maandag een patch zouden kunnen krijgen. De nieuwste versies in de Play Store en App Store zijn van zaterdag en maandag, maar de changelog vermeldt niets over de fix.

WhatsApp bevestigt de exploit tegenover de zakelijke krant. "Deze aanval heeft de tekenen van een privaat bedrijf dat werkt met overheden om spyware te leveren die functies van telefoonbesturingssystemen over kan nemen. We hebben een aantal mensenrechtenorganisaties gebrieft en alle informatie gedeeld die we kunnen. We werken met hen om de maatschappij in te lichten."

De spyware zou afkomstig zijn van het Israëlische NSO Group, hoewel onbekend is of die ook de kwetsbaarheid heeft gevonden. De aanval werkt door iemand via WhatsApp te bellen. Zo is de spyware te injecteren, zelfs als iemand niet opneemt. Het is onbekend hoeveel mensen getroffen zijn door de spyware. Facebook-dochterbedrijf WhatsApp heeft behalve het statement aan Financial Times nog geen informatie over de aanval online gezet.

Update, 7:42: Het gaat om een buffer overflow-kwetsbaarheid in de voip-stack van WhatsApp, zo blijkt uit een beschrijving van de kwetsbaarheid. Het uitvoeren van code is mogelijk door het versturen van voor de aanval gemaakte srtcp-pakketjes naar de telefoon. Het is nog onbekend hoeveel data kwaadwillenden konden zien dankzij de aanval.

Door Arnoud Wokke

Redacteur mobile

14-05-2019 • 06:45

131 Linkedin Google+

Submitter: John Stopman

Reacties (131)

Wijzig sortering
Toch wel grappig hoe ingetogen dit nieuws wordt gebracht. Als het Chinezen of Russen waren, dan was er weer een grote headline met 'Chinezen hacken Whatsapp gebruikers'. Nu wordt het ergens terloops gemeld en heel zakelijk gebracht terwijl dit hele vieze praktijken zijn:
NSO’s spyware has repeatedly been found deployed to hack journalists, lawyers, human rights defenders and dissidents. Most notably, the spyware was implicated in the gruesome killing of Saudi journalist Jamal Khashoggi, who was dismembered in the Saudi consulate in Istanbul last year and whose body has never been found.

Several alleged targets of the spyware, including a close friend of Khashoggi and several Mexican civil society figures, are currently suing NSO in an Israeli court over the hacking.

On Monday, Amnesty International — which said last year that one its staffers was also targeted with the spyware — said it would join in a legal bid to force Israel’s Defense Ministry to suspend NSO’s export license.

That makes the discovery of the vulnerability particularly disturbing because one of the targets was a UK-based human rights lawyer, the attorney told the AP.
https://www.timesofisrael...cted-of-hacking-whatsapp/
Toch wel grappig hoe ingetogen dit nieuws wordt gebracht.
Dank je! Mooi dat je het opmerkt!
Als het Chinezen of Russen waren, dan was er weer een grote headline met 'Chinezen hacken Whatsapp gebruikers'.
Nee, de kop erboven was precies hetzelfde geweest. Sterker nog: ik heb geen idee wie deze kwetsbaarheid hebben misbruikt. China of Rusland zouden daar best achter kunnen zitten.

Deze kop en insteek zijn geen toeval. Bij de diefstal bij ASML vorige maand was dit onze kop nieuws: 'R&d-medewerkers stalen broncode van ASML en gaven die aan concurrent' Ter vergelijking: NOS kopte bijvoorbeeld 'Chinezen stalen bedrijfsgeheimen ASML, een van de grootste spionagezaken ooit ' En NOS is vaak ook ingetogen met koppen - zo zie je waar wij staan in het spectrum, denk ik.
Nu wordt het ergens terloops gemeld en heel zakelijk gebracht terwijl dit hele vieze praktijken zijn:
Het zijn vieze praktijken, maar wij zijn een techsite en brengen technieuws. Daarom zie je een update staan met meer details over het exacte lek en een link naar een melding erover. Ik snap dat mensen in onze berichtgeving graag politieke zaken zien, maar dan zoek je naar iets wat er niet is. Wij melden nieuws zo ingetogen en a-politiek mogelijk, als dat kan :)
Nee, de kop erboven was precies hetzelfde geweest. Sterker nog: ik heb geen idee wie deze kwetsbaarheid hebben misbruikt.
Het zijn Israëlische hackers.
Deze kop en insteek zijn geen toeval. Bij de diefstal bij ASML vorige maand was dit onze kop nieuws: 'R&d-medewerkers stalen broncode van ASML en gaven die aan concurrent' Ter vergelijking: NOS kopte bijvoorbeeld 'Chinezen stalen bedrijfsgeheimen ASML, een van de grootste spionagezaken ooit ' En NOS is vaak ook ingetogen met koppen - zo zie je waar wij staan in het spectrum, denk ik.
Als je de andere 300+ keer negeert wel. Elke paar dagen lees je wel een nieuwsbericht over Chinezen dit, Russen dat, heel vaak in een negatieve context. In elk bericht wordt minstens een aantal keer herhaald dat het Chinezen zijn. Vaak nog met een wapperende Chinese vlag als icoontje bij het bericht.

Dat is een heel andere manier dan hoe het hier wordt gebracht. Hier staat geen 'Israëlische hackers'(wat het zijn), met een vlag van Israël. Niet dat ik iets tegen Israël(of China, de VS, Rusland etc) heb, ik vraag me alleen af in welk geval het land ineens de leidraad van het artikel moet vormen.

Volgens mij schrijf jij overigens wel iets genuanceerder dan de meeste redacteuren, maar had het meer over Tweakers-wijd dan dit op jou als persoon was gericht.
Het zijn vieze praktijken, maar wij zijn een techsite en brengen technieuws. Daarom zie je een update staan met meer details over het exacte lek en een link naar een melding erover. Ik snap dat mensen in onze berichtgeving graag politieke zaken zien, maar dan zoek je naar iets wat er niet is.
Niet zo zeer politiek, maar wat is het echte nieuws? Dat Israëlische hackers met banden met staten Whatsapp gebruikers konden hacken zonder medeweten? Of dat Whatsapp een bug heeft opgelost.

Overigens vind ik het techsite-verhaal wel een beetje een excuus. Er staat hier allerlei non-tech nieuws op de frontpage. Allerlei entertainment, filmtrailers, geruchten etc. Dan mag in mijn ogen best gemeld worden wie bijvoorbeeld de targets waren van deze hackers/spyware. Bovendien is het nog steeds tech gerelateerd.
Waar is bevestigd dat het Israelische hackers zijn? Het is software die door NSO (Israelisch) is ontwikkeld en aan meerdere partijen is geleverd.

"NSO advertises its products to Middle Eastern and western intelligence agencies".

https://www.ft.com/conten...6c-11e9-be7d-6d846537acab

Kunnen dus allerlei overheden zijn, plus wie er dan verder nog aan heeft weten te komen...
Het zijn natuurlijk hackers die de vulnerability hebben gevonden en geëxploit. Dat ze die hack vervolgens netjes verpakken en verkopen in een kant-en-klaar softwarepakket doet daar niks aan af.
Wel als op die manier iedereen die dat gekochte pakket gebruikt als Israëlische dader wordt aangemerkt.

Begrijp me niet verkeerd, je hebt volledig gelijk met vieze praktijken, maar in het recente bericht over kwetsbaarheden die Chinezen/Noord Korea hadden benut werd ook vermeld dat ze Amerikaanse exploits (NSA huiswerk) hadden gebruikt. Dan zeggen we toch ook niet dat er Amerikaanse hackers achter zitten?
Heel goed @arnoudwokke . Je hoeft niet de discussie over 'partijdigheid' of 'framing' helemaal niet aan te gaan als je niet claimt dat je onafhankelijk bent. Ingetogen en a-politiek is goed genoeg wat mij betreft.

Ik word persoonlijk een beetje moe van al die online schreeuwers die denken dat zij inzichten hebben die mensen die het dagelijks voor hun werk met nieuws bezig zijn, niet zouden hebben. Ik ga toch ook niet naast de loodgieter staan en discussiëren over welke tang die moet gebruiken?
Je zal ze de kost moeten geven die dat doen ;)
Wij melden nieuws zo ingetogen en a-politiek mogelijk, als dat kan :)
En dat hoort ook zo voor een persorgaan! Helaas iets dat we steeds minder zien...
Waarom? Geen enkele media organisatie is onafhankelijk en zeker niet a-politiek. Dat hoeft ook helemaal niet, als nieuws(feiten) maar berust(en) op waarheid.

Daarom zit er nog steeds enig verschil tussen een Telegraaf en een Volkskrant bij u in Nederland...zou toch in en in triest zijn als we allemaal dezelfde/van dezelfde kant belichte monotone troep voorgeschoteld krijgen als 'nieuws.'
Nou, ik zie liever genuanceerd nieuws, dat beide kanten van het spectrum bekijkt ipv ongenuanceerde onzin.
Ik ook, maar dat staat los van dat je als media organisatie niet een eigen kijk mag geven op nieuwsfeiten.

Bij u in de EU worden bijvoorbeeld nu de nieuwsfeiten m.b.t. EU verkiezingen of de Brexit van verschillende kanten belicht. Soms genuanceerd, soms ongenuanceerd, en een Volkskrant doet dat bijvoorbeeld op een hele andere manier dan bijv. The Daily Telegraph op basis van dezelfde feiten.
"nieuws" is, als het goed is, monotoon en eenzijdig belicht, namelijk door de echte feiten en omstandigheden. Elk nieuws dat door een politieke kleur of een afhankelijkheid belicht is, is nepnieuws.
Dat is natuurlijk niet waar. Je kan feiten van verschillende kanten belichten. Pas als je de feitelijkheden gaat verdraaien is er sprake van nepnieuws.
<offtopic>
Sommige nieuwssites zijn ook heel goed in het weglaten van specifieke feiten.
Laat joop en geenstijl maar eens een artikel maken over hetzelfde onderwerp (bijvoorbeeld over de bezetting van een varkensboerderij gisteren):
Joop
Geenstijl
Beiden benoemen feiten, maar dan wel met hun eigen sausje. Ook laten beiden dingen die niet in hun visie vallen, bewust weg. Daarmee kun je dus als nieuwslezer een richting opgeduwd worden en wordt je mening dus beinvloedt.

Weglaten van feiten valt misschien niet onder nepnieuws, maar wel degelijk onder propaganda.
</offtopic>

[Reactie gewijzigd door walteij op 14 mei 2019 12:51]

"nieuws" is, als het goed is, monotoon en eenzijdig belicht, namelijk door de echte feiten en omstandigheden.
Het heeft mijn voorkeur dat nieuws niet eenzijdig, maar neutraal, wordt gebracht. Feitelijk correct zoals het is.
Elk nieuws dat door een politieke kleur of een afhankelijkheid belicht is, is nepnieuws.
Nieuws gebracht vanuit bepaalde kleur heeft een bepaalde duiding, maar dat maakt het niet automatisch nepnieuws. Nepnieuws (what's in the name) is nieuws dat nep is.

NOS, Nieuwsuur en praatprogramma's zoals Pauw, Jinek, DWDD brengen duiding over dat nieuws vanuit bepaalde hoek. Los van mijn inhoudelijke mening maakt dat nieuws en/of duiding daarover niet nep en/of nepnieuws.
Waarom?
Omdat nieuws een objectieve weergave van de werkelijkheid moet zijn.
Geen enkele media organisatie is onafhankelijk en zeker niet a-politiek.
Dat hoeft ook niet, maar nieuws moet dat wel zijn, voor al de rest zij er columns en interviews.
Daarom zit er nog steeds enig verschil tussen een Telegraaf en een Volkskrant bij u in Nederland...
Nederland is niet ‘bij mij’...
Elke media organisatie (ook waar ik zelf voor werk) brengt nieuws op een eigen manier, met een eigen kijk zo u wilt. Dat begint al vaak bij de titel, maar ook bij de keuze van de beelden/foto's (waar ik zelf binnen een media org. grotendeels verantwoordelijk voor ben) Geen enkele media org. brengt nieuws objectief en dat moet ook helemaal niet.

De problematiek ligt hem in nepnieuws/verdraaien van nieuwsfeiten en vooral ook van sponsoring van 'zogenaamde' nieuwsitems. Hieronder een goed artikel daarover, helaas ontkomt (diegene waar ik zelf voor werk ook niet) daar vrijwel geen enkele media organisatie meer aan.

https://www.apache.be/201...nalistieke-ziel-verkoopt/

[Reactie gewijzigd door litebyte op 14 mei 2019 14:03]

Gezien de banden van de CIA met deze Israelische organisatie vermoed ik eerder dat de VS dit extensief gebruiken.
Deze kop en insteek zijn geen toeval. Bij de diefstal bij ASML vorige maand was dit onze kop nieuws: 'R&d-medewerkers stalen broncode van ASML en gaven die aan concurrent' Ter vergelijking: NOS kopte bijvoorbeeld 'Chinezen stalen bedrijfsgeheimen ASML, een van de grootste spionagezaken ooit ' En NOS is vaak ook ingetogen met koppen - zo zie je waar wij staan in het spectrum, denk ik.
Heel fijn inderdaad dat Tweakers zich onthoudt van de Televaag chocolade letters. Maar mag ik je er wel even op wijzen dat de NOS tegenwoordig niet meer zo onpartijdig en bescheiden/a-politiek het nieuws brengt. Die lopen tegenwoordig ook aardig te schreeuwen in de pas met Westerse media. Jullie doen dan nog onderzoek. Heel veel NOS nieuws is gewoon ANP kopij die doorgezet wordt. Dat zie je bijv. ook altijd heel erg als het gaat om bijv. voetbalnieuws. Eigen onderzoek over wat er waar is wat de politie bijv. zegt ho maar...
Maar goed. Hier kan een dissertatie over geschreven en gehouden worden. Fijn dat jullie je kwaliteit hoog proberen te houden.
NSO Group (2001 opgericht en 1 Miljard dollar bedrijf) zit hier al jaren achter en is sinds vorig jaar al ontdekt dat men deze injectie kon uitvoeren in whatsapp. De NSO group is een amerikaans bedrijf (American owned company) en wordt gewoon een cyber armed dealer genoemd die alleen bezig is met dit soort zaken. Doel is gewoon binnenkomen in systemen en informatie verkrijgen. Targets is windows, iPhone, macos, Whatsapp, facebook, etc. .

Ze hebben van simpele scripts om je locatie,IP adres te bepalen via whatsapp op je computer tot het pushen van malware op je toestel. Ik gebruik wel Google ,maar geen whatsapp, facebook etc. niet en gebruik BlackBerry BBM Enterprise voor 6 euro per jaar en secured voor NATO, Navy Seals etc. waarmee je ook beveiligd belt en videobelt.

We maken ons druk om wat Trump aan het roepen is, maar uiteindelijk is het de NSA, CIA en bepaalde wetgevingen die ervoor zorgt dat al die amerikaanse bedrijven als whatsapp, facebook etc. alles van ons weten en dus ook gericht door bedrijven zoals hierboven ons aanvallen en dat zullen meestal directeuren van bedrijven zijn, minister en belangrijke zakenmensen.

Amerika roept wel pas op voor China, maar dat komt meer doordat ze weten wat ze zelf kunnen en dat ze steeds meer zien dat China de zelfde trucjes uithaalt. Nee onze bedrijven ,ministers etc. zijn veilig met amerikaanse apps en software :)

p.s. Amerika is enorm bang dat bedrijven /mensen andere apps gaan gebruiken waar ze ook geen toegang toe hebben zoals wechat of die helemaal niet gedeeld worden zoals met BBM Enterprise (1 jaar gratis) of threema (betaald)

[Reactie gewijzigd door Noresponse op 14 mei 2019 12:16]

Facebook is de vervanger van LifeLog.
BBM Enterprise kun je je ook afvragen of de Canadezen niet een masterkey hebben.
Die hadden ze voor bbm enterprise voor een paar jaar , maar hierdoor zijn enorme site;s voor wapenhandel, kinderporno en vrouwenhandel door ontmanteld alsmede drugscriminelen binnen een aaantal grote steden in Canada en dat allemaal met een bevelrecht en daarbij heeft BlackBerry voor BBM de sleutelconstructie aangepast voor BBM en BBM enterprise is niet meer te vergelijken. Dus dat is wel heel erg oud nieuws. Lees je desnoods even in op het forum onder bbme

Meer info : bbme

Reactie BlackBerry over whatsapp: https://blogs.blackberry....reating-a-circle-of-trust

[Reactie gewijzigd door Noresponse op 14 mei 2019 22:52]

Het is ook nauwelijks nieuws dat er backdoors in whatsapp zitten. Eigenlijk geen nieuws. Is het dan geen nepnieuws tegenwoordig?
Tja, zou facebook, Whatsapp of Instagram Chinees zijn wat het al jarengeleden al verboden geweest om in de VS (en dus ook EU) te operen. Dat feit is eigenlijk vele malen enger dan dat iets van Zuckerberg weer negatief in het nieuws is.

Stap over (naar bijv. Signal) en alles mijden wat uit de koker van Zuckerberg komt.

[Reactie gewijzigd door litebyte op 14 mei 2019 10:31]

Ja zou wel willen maar dan kun je niet communiceren met Whatsapp gebruikers.
Ik heb collega's afgelopen jaar de keuze gesteld: of Signal, of bellen/email. Daarnaast ook goed duidelijk maken waarom je geen Whatsapp meer gebruikt (voor werk.)
Wij gaan het proberen met Microsoft's Kaizala. Zou MS's antwoord op Whatsapp Business moeten zijn..
Je hebt nog gelijk ook. Ga dat ook maar eens serieus overwegen. Het gaat alleen ook met voetbal zo.. zonder die app weet je nauwelijks nog hoe laat of wanneer je kinderen moeten spelen. Eigenlijk zou dat netwerk opengesteld moeten worden, zodat mensen met verschillende apps met elkaar kunnen communiceren. Dat zal nog wel ff duren hehe.

[Reactie gewijzigd door tapkcir op 14 mei 2019 11:47]

Terloops? Ik heb dit vanochtend op de radio gehoord, dat gebeurt toch niet echt vaak
Tja, als je tegenwoordig iets slechts over Israel zegt word je direct als antisemiet afgeschilderd, terwijl het een land is waar echt enorm veel onethische zaken gebeuren. Zowel de private bedrijven als de overheid die zelf allerlei smerige zaakjes heeft draaien en niet optreedt tegen dit soort dingen.
Sinds wanneer bestaan er landen waar geen onethische zaken gebeuren? In Nederland hoeft niemand naar de schuilkelders of dreiging van raketten dat maakt dat onze onethische zaken weer op een ander gebied liggen. Zo zijn wij een belastingparadijs, helaas niet voor de inwoners hoor, maar wel voor Starbucks , Ikea en veel grote bedrijven. Hoe ethisch is dat?

En wie zegt dat Nederland geen abonnement heeft op deze software ?

[Reactie gewijzigd door BramV op 14 mei 2019 09:53]

Niet tegenwoordig hoor, dat is een van de problemen rond Israel wat de discussie over onze relatie met hen al vanaf dag 1 parten heeft gespeeld (zie ook de Oliecrisis van '73). Je ontkomt er niet aan door stug te benadrukken dat als je een land bekritiseert je dat niet vanwege het geloof doet (laat staan dat je een geloof ook mag bekritiseren).
Dat is een moeilijk punt. De meeste Nederlanders denken dat Israel een Westerse democratie is. Maar ik heb de Israëlische grondwet gelezen. Dat is niet geschreven door een Thorbecke of Jefferson. De Joodse identiteit is grondwettelijk vastgelegd.
Waarom kun je via het VOIP-systeem spyware installeren of gebruikers bespioneren? Is dit dan niet juist een bug in Android en iOS? Dit zou toch onafhankelijk van de app niet moeten kunnen?

En hoe kan dit op de server gerepareerd worden? De server zou hooguit een soort virusscan op de data kunnen doen. Wat me dan ook weer lastig lijkt als alles E2E encrypted is.

[Reactie gewijzigd door MadEgg op 14 mei 2019 07:12]

Het is ook spyware wat in Whatsapp zelf geinstalleerd wordt (in dus draait de Whatsapp-sandbox) in niet in het OS zelf. De spyware kan ook alleen maar bij dingen van Whatsapp zelf en niet van andere apps, voor zover ik weet.

[Reactie gewijzigd door arnova op 14 mei 2019 07:28]

Als dat zo is, dan is het artikel wel enigszins misleidend.

Je kunt dan dus niet "smartphonegebruikers" bespioneren maar hoogstens "Whatsappgebruikers". En met dat laatste bedoel ik dan dus gebruikers die WhatsApp op dat moment actief gebruiken en hetgene wat bespioneerd wordt is activiteit binnen WhatsApp. Dat beperkt de scope behoorlijk natuurlijk - hiermee blijft je bank-app, browser, Facebook-app of weet ik wat buiten schot.
Alle permissies van whatsapp zijn dus ook bruikbaar voor de aanvaller. Op afstand de microfoon of camera aan kunnen zetten, door je foto’s heen kunnen gaan, je locatieservice gebruiken... allemaal geen kleinigheidjes.

Bovendien, vind maar eens een smartphonegebruiker zonder whatsapp.

Beetje raar om deze hack kleiner te maken dan die is. Dit heeft echt wel impact
Alle permissies van whatsapp zijn dus ook bruikbaar voor de aanvaller. Op afstand de microfoon of camera aan kunnen zetten, door je foto’s heen kunnen gaan, je locatieservice gebruiken... allemaal geen kleinigheidjes.

Bovendien, vind maar eens een smartphonegebruiker zonder whatsapp.
Vind maar eens een app dat veiliger is. Zolang een app niet massaal gebruikt wordt zal het door minder hackers getest worden dan Whatsapp.
iMessage is een messenger app die veiliger is en massaal gebruikt wordt.
De VoIP functie (Facetime) is ook niet helemaal veilig. Behalve het afluisteren voor iemand opneemt (wat gewoon in de app zat, daar was niet eens een exploit voor nodig) zitten er ook de nodige bugs in Apple's code.

Verder is iMessage ook minder veilig omdat Apple je key heeft voor end to end encryptie en dus al je berichten kan lezen en je na kan doen. Bij WhatsApp is dat niet het geval omdat de key op de telefoon blijft.

Het voordeel dat je bij WhatsApp hebt is dat je niet beperkt bent tot de minderheid van slachtoffers die iOS draait. Dat komt alleen maar omdat het grootste deel van de wereld geen iPhone kan betalen, niet omdat iMessage+Facetime ineens veel veiliger is.
Intrigeert wel............
Wie heeft bewezen dat de key(s) de telefoon niet verlaat?
Niemand, want het is closed source software. Bij Apple staat echter gewoon in de documentatie dat de keys worden opgeslagen in iCloud.

Relatief gezien is WhatsApp dus veiliger dan iMessage, maar open source alternatieven zoals Signal zijn natuurlijk altijd preferabel boven closed source applicaties als het om beveiliging en vertrouwen gaat.
"Bij WhatsApp is dat niet het geval omdat de key op de telefoon blijft"
Niemand, want het is closed source software. Bij Apple staat echter gewoon in de documentatie dat de keys worden opgeslagen in iCloud.
Snap ik, maar als het closed source is kun je toch niet zeggen dat het veiliger is.
Geloof is iets wat op andere terreinen speelt, maar niet bij security. :)
Tja, iemand die zegt dat hij gestolen heeft is schuldiger dan iemand die beweert dat hij niet gestolen is en waar alleen lichte verdenkingen van zijn. Ik heb persoonlijk de Linux-kernel niet 100% doorgekeken maar ik vertrouw toch dat Ubuntu mijn foto's niet naar willekeurige mensen stuurt.

Dit soort vertrouwen is ook gewoon nodig voor closed source software. Zo vertrouw ik de encryptie van Whatsapp meer dan die van Telegram, ondanks dat van beide de broncode voor de apps en de server niet (meer) beschikbaar is. Dit puur omdat de een zelf een vaag protocol heeft ontwikkeld en de ander een bewezen, open protocol gebruikt.
Vertrouwen is leuk, maar het blijkt maar al te vaak dat het geschaad wordt.
En ondanks dat een bedrijf beweert helemaal niks te kunnen zien van wat je communiceert, er komt een moment dat er (en zelfs dat zal niet (direct) in de openbaarheid komen) berichten naar buiten komen dat er toch meegekeken werd. Dit wordt dan heel erg genuanceerd vanwege 'belangen in het grotere geheel'.

Denk je als terrorist, pedofiel of hitman lekker veilig achter je whatsapp / telegram / iMessage te zitten, wordt je toch op een gegeven moment van je bed gelicht. Hoor je nooit iemand over, totdat er ergens een keer een Snowden van dat soort communicatiebedrijven in de openbaarheid treed.

Of omdat over 50 jaar ergens gesloten files van de NSA openbaar worden gemaakt waarin bijvoorbeeld staat dat die gewoon een achterdeur hadden in software als *eerder genoemd*. Dat maakt ons dan niets meer uit, want over 50 jaar gebruiken we al 30 jaar geen whatsapp e.d. meer.

En dan hoor je ineens uit alle hoeken, die hier en 'vandaag de dag' nog zeggen dat er helemaal niks kan gebeuren... 'dat is gewoon bewezen onmogelijk'... Ik moet het nog allemaal zien :).
Als je kan verifiëren dat die source daadwerkelijk de bron is van de binary op je telefoon, wat erg lastig is.
Het kan met reproducable builds, waar op dit moment veel aandacht aan wordt besteed in de open source-gemeenschap. Dan moet je voor Android wel eerst de signature strippen natuurlijk (of de key publiceren, maar dat is een slecht idee), maar het is in principe prima technisch mogelijk.
Dat hoeft niet - als je key op iCloud veiliger wordt opgeslagen dan dat WhatsApp het lokaal doet, dan is het omgekeerd.
Aangezien Signal de de facto standaard is voor veiligheidsonderzoekers kan je er vanuit gaan dat die veiliger is...
Signal heeft meegeholpen om whatsapp secure te maken, de vraag is dus of dit niet ook een probleem is in Signal.
https://signal.org/blog/whatsapp-complete/
https://en.wikipedia.org/wiki/Signal_Protocol

Het grote verschil is natuurlijk wel dat Signal vanaf het begin als secure app ontworpen is en whatsapp dit in mindere mate leek te hebben.
Ik weet dat Facebook het protocol van Signal gebruikt maar ze hebben het op een andere manier geïmplementeerd, op een manier waarvan ten tijde van die overstap al aangegeven is dat die onveiliger is.
Nou, ik heb al jaren geen WhatsApp meer. De messengers die ik wél heb hebben geen toegang tot mijn microfoon, camera, foto's, locatie en dat soort onzin. Als ik een keer een foto wil delen dan selecteer ik de foto in de foto-app en deel deze via Signal of Wire, in plaats van dit vanuit de app zelf te doen.

Mocht ik nog wel WhatsApp hebben dan zou die aan soortgelijke beperkingen onderworpen zijn en zou het daarmee dus nagenoeg geen impact op mij hebben.
Hoewel ik hetzelfde ben daarin, heeft dit natuurlijk wel een grote impact.
Want je zal zelf ook gemerkt hebben, het is vrij lastig om mensen te overtuigen die rotzooi van Facebook aan de kant te gooien en iets fatsoenlijks als Signal te gaan gebruiken.
Smartphonegebruikers zonder WhatsApp zijn dus inderdaad moeilijk te vinden.
In Signal is een dergelijke exploit ook niet onmogelijk. Ook Signal wordt door mensen gemaakt die geen 100% foutloze code af zullen leveren.
Uiteraard, maar de kans is wel kleiner dan bij WhatsApp omdat het hele doel van Signal is om veilig te zijn.
Daarnaast scheelt het ook dat je data door Signal niet door een groot bedrijf wordt vastgelegd in tegenstelling tot bij WhatsApp.
Facebook legt dan misschien alleen metadata vast, het is natuurlijk wel heel bruikbaar voor ze in combinatie met de rest van hun bedrijf. WhatsApp is dus ook zonder veiligheidsproblemen, zelf een veiligheidsprobleem als je er vanuit een privacy-perspectief naar kijkt, waar Signal dat niet is.
Wat Facebook mogelijk wel of niet met de verzamelde metadata doet heeft totaal niet te maken met de mogelijke kwetsbaarheid voor exploits.
Doel (veilig) en bewijs (het is veilig) is niet het zelfde.
Ook de grootte (of kleintte) van een bedrijf zegt niets over de veiligheid van de producten.
Dat jij het anders doet maakt de impact niet kleiner. Whatsapp staat op vrijwel iedere telefoon. En hoogstwaarschijnlijk zonder al te veel toegangsbeperkingen.
Mooi er is dus niks aan de hand maak de patch maar weer ongedaan :+
"Bovendien, vind maar eens een smartphonegebruiker zonder whatsapp."

I ben er wel...

Het massale gebruik van WA is weer een bewijs voor een oud probleem: gebruikers vinden het pratisch en makkelijk en houden op met nadenken.
Ontwikkelaars van dit soort populaire platforms dragen dus een veel grotere verantwoordelijkheid en zouden daarop aangesproken moeten kunnen worden.
Haha, geen enkel software programma is zonder bugs. Daarnaast is het een feit dat hackers voornamelijk geïnteresseerd zijn in populaire software waar miljoenen gebruikers zijn. Kijk naar Windows, Android, iOS Whatsapp, Facebook etc.
En waarom is dat een probleem? Als iets goed werkt, werkt het toch goed?
Op mijn werktelefoon heb ik al meer dan een jaar geen Whatsapp meer staan, maar Signal. Het werkt heel goed en is een uitstekend alternatief voor Whatsapp. Het belangrijkste, het is niet van Zuckerberg en feitelijk dus geen spyware..

Mijn collega's heb ik de keuze gegeven: of me voortaan bellen, mailen of (ook) Signal te installeren. Dat is de snelste manier om anderen te overtuigen om geen Whatsapp meer te gebruiken.
Dit is zoals ik het begreep van de expert op BNR, wat op zich ook logisch is. Alles draait in een sandbox op Android/iOS en de enige manier om daaruit te escapen is naast een exploit in de app zelf, ook nog een exploit in het OS te misbruiken. Dat laatste is uiteraard niet onmogelijk maar werpt wel een extra barrierre op.

[Reactie gewijzigd door arnova op 14 mei 2019 12:40]

Dat is het hele idee van een buffer overflow, dat je buiten de beperkingen van de sandbox breekt.
Is dat zo? Wat ik ervan lees wordt een buffer overflow gebruikt om uit de sandbox te breken en malware op de telefoon zelf te installeren.
Classic buffer overflow. Of te wel je manipuleert de pakketjes zo zodat de interne buffer (die beschermd is om data uit te voeren enz.) Zo dat deze overloopt zodat je in het niet beschermende geheugen komt en dan ben je vogel vrij. Dit zijn gewoon de mooiste ;)

Meer info https://www.theregister.co.uk/2019/05/14/whatsapp_zero_day/

Tweakers die linked naar facebook betreft veiligheids-issue's haha

[Reactie gewijzigd door Skywalker27 op 14 mei 2019 07:59]

Maar als dat kan is het niet alleen een bug in WhatsApp - het besturingssysteem moet het geheugen beschermen, ook als de apps last van buffer overflows hebben. Daar is de sandbox nu juist voor.
Bescherming tegen buffer overflows kan in de praktijk op twee manieren: de code moet zijn bounds goed controleren (wat dus net de bug is) of/en de stack protection die in iedere compiler zit ingebouwd aanzetten. Stack canaries pakken de meeste buffer overflows nog voor het OS in grijpt.

Beide zijn dingen die door WhatsApp moeten worden gedaan. Het OS biedt additionele bescherming als ASLR, selinux en permissies om de impact te verminderen maar desondanks is het aan de ontwikkelaar om de compiler veilige code te laten genereren.

Een sandbox zorgt dat een app alleen functies kan benaderen waar deze rechten tot heeft gekregen. In het geval van WhatsApp dus berichten, activatie-SMS-codes, locatiegegevens, de microfoon, de camera's en de interne opslag (alleen Android). De opslag zal vanaf Android Q niet meer kunnen vanuit de sandbox; alleen de WhatsApp-specifieke map kan dan worden misbruikt.

De rest van de permissies heeft WhatsApp nodig voor functies. Het op de achtergrond gebruiken van de microfoon is bij de recentste versie van Android geblokkeerd (ik ken de situatie niet bij iOS) en de locatie op de achtergrond kan alleen met een actieve melding in de meldingenbalk (again, op Android, weet niet hoe het op iOS zit; geloof dat daar ook zoiets geldt).

Kortom, zelfs binnen de beperkingen van de sandbox kan een exploit een hele hoop doen. Works as designed, het OS kan niet veel meer doen zonder daadwerkelijke features van veel apps kapot te maken.
Op iOS kleurt je klok dieprood als je microfoon wordt gebruikt op de achtergrond. De locatiepijl kleurt geheel zwart ipv enkel borders als het op de achtergrond locatie opvraagt, maar die pijl staat er zo’n beetje permanent als je veel apps hebt die op locatiebasis werken. :P
Ah, goed om te weten. Dat vind ik wel erg vage signalen eerlijk gezegd. Hoe moet iemand ooit weten dat een rode klok betekent dat je wordt afgeluisterd?

Toch fijn dat Apple er wel indicatoren voor heeft ingebouwd. Wellicht minder duidelijk, maar wel minder irritant dan apps die constant meldingen moeten geven.
Zodra het actief wordt verschijnt er eerst een icoon van een microfoon ipv je klok, daarna verdwijnt die en blijft de klok dieprood zolang de mic actief is. Weet niet of de mic blijft werken als je het toestel lockt trouwens, nooit getest. :)

Ik zou denken dat als je klok opeens volledig rood kleurt, zeker als je eerst dat icoon ziet, dat je je afvraagt waarom dat is. Als je er op tikt wordt je naar de app gebracht die er verantwoordelijk voor is. Als je t dan niet weet dan google je ‘t ff of vraag je het natuurlijk. :P Er zullen vast mensen zijn die denken “wat leuk, wist niet dat dit kon! Kan ik ook zelf de kleur ergens kiezen!?”, maar daar ontkom je niet aan. :+
Dat is het idee inderdaad, maar als ik me niet vergis is dat als je de officiele mic API binnen iOS gebruikt - als je daarbuitenom direct toegang hebt gekregen tot de mic is het goed denkbaar dat je niet die rode balk ziet - analoog aan de exploits waar malware toegang kreeg tot webcams zonder dat het webcam ledje aan gaat.

Ik bedoel, als je via een buffer overflow eenmaal buiten de sandbox bent gebroken, dan kan je een hoop doen.

[Reactie gewijzigd door Dreamvoid op 14 mei 2019 13:02]

Ik ben het met je eens dat klopt theoretisch, maar door een lek in de software kan je de beveiliging van het OS omzeilen omdat geheugen gebruik dynamisch is en niet vast.
Waarom kun je überhaupt bellen via Whatsapp? Ik kan geen feature bedenken van welke app ook, die storender is. Probeer maar eens een gesprek te laten rinkelen zonder geluid. Waarom kunnen gebruikers de belfunctie niet uitzetten?
Goede vraag. In het verleden heb ik zowel via WhatsApp, Wire, Signal als Telegramgeprobeerd te bellen op iOS en alles werkt bagger. De helft van de tijd komt er geen spraakverbinding tot stand en als dat dan wel lukt hapert die, klinkt het blikkerig of valt het weg. Daarnaast zit dat bel-knopje altijd dermate prominent in het scherm dat ik regelmatig per ongeluk gebeld wordt door mensen die dat helemaal niet wilden.

Zou leuk zijn als dat gewoon allemaal overal uit kan.
Wanneer alles bagger werkt, moet je eens naar je apparatuur of je verbinding kijken. Helemaal wanneer je 50% van de tijd zelfs geen verbinding kunt krijgen.

Maar de optie om het uit te zetten zou inderdaad gewoon aanwezig moeten zijn.
Alle VOIP. Gewoon bellen werkt dan prima, en alle overige diensten ook.
Persoonlijk vind ik bellen met Facetime wel goed, ondanks trage verbindingen. Beter nog dan Whatsapp of Skype.
Ik merk wel dat Skype wat beter ‘degradeert’ naar lagere videokwaliteit als de bandbreedte minder wordt, WA en Facetime is het in de regel direct beeld weg.

[Reactie gewijzigd door Dreamvoid op 14 mei 2019 12:43]

Enige waar ik problemen mee ondervind is videobellen via signal (telefoon word heet en na ong. 2.5 uur schakel die zich uit als ik in een warme omgeving zit) Maybe eens kijken naar je verbinding, hardware voor je de schuld bij een app neerlegt
Ik ben het helemaal eens dat gebruikers de optie moeten hebben om gebeld te worden, Whatsapp telefoontjes gaan bijvoorbeeld niet over op de Apple Watch, nu kun je heen en weer discussieren aan wie dat ligt maar ik zou gewoon uberhaupt de optie willen hebben om niet bereikbaar te zijn op Whatsapp.

Daarnaast moet ik zeggen dat jouw ervaring niet overeenkomt met dat van mij, ik merk eigenlijk niet veel verschil tussen Whatsapp of gewoon bellen. Heb je toevallig een iPhone 7? Deze hebben namelijk een bekend probleem waarbij de audio chip problemen kan geven wat resulteert in vage problemen zoals dat van jou.
Waarom kun je überhaupt bellen via Whatsapp?
Niet iedereen kan altijd (gratis) bellen via zijn mobiele netwerk. WiFi is daarentegen wel vaak gratis voorhanden. Ik heb het zelf ook vaker gebruikt (wel in een andere app weliswaar, maar principe blijft hetzelfde) als ik in het buitenland zat en geen lokale bundel had.
Is een buffer overflow in de voip-stack van WA, die via een aantal speciale pakketjes te triggeren is https://m.facebook.com/security/advisories/cve-2019-3568
Het is ook spyware wat in Whatsapp zelf geinstalleerd wordt (in dus draait de Whatsapp-sandbox) in niet in het OS zelf.
Toch wel OS afhankelijk ;) :
[...] maar de exploit misbruikte het voip-systeem in WhatsApp om binnen te dringen in iOS of Android, zegt Financial Times.
Goed dat ze er niks op melden op Playstore.
Ze hebben misschien "security fix" kunnen benoemen, begrijp dat ze niet volledig transaprant daarin zijn, misschien na volgende update release, wanneer (alles) geupdate is.
Hoewel ik je begrijp denk ik dat je in dit geval met openheid meer bereikt. Men is dan wellicht eerder geneigd om de update uit te voeren ipv uit te stellen.
Of juist een kwetsbaarheid voor de mensen die nog niet in de gelegenheid zijn geweest de changelog van elke app door te spitten.

Gelukkig heeft het merendeel van de gebruikers automatisch updaten aanstaan.
Denk het niet hoor. De meeste 'digibeten' interesseert het niks hoe veilig hun applicatie is. Die vinden het alleen maar lastig. Als het al lastig is om sommige mensen uit te leggen dat Windows XP en Windows Vista, maar ook software zoals Office 2007 en WLM toch echt niet meer veilig zijn en niet meer gebruikt dienen te worden...

Denk daarnaast dat de meeste mensen met verstand van zaken wel updaten, maar dat is wel een onderbuikgevoel.
Ik vind dat best raar eigenlijk, denk je niet dat gebruikers goed genoeg snappen welk risico ze zonder update lopen?
Ik denk dat veel/de meeste gebruikers dat inderdaad niet snappen. ik zie nog steeds mensen rond lopen met een verouderde Android op hun Galaxy van X jaar oud. Als ik dan zeg dat het slim is als ze die updaten, kijken ze je met hele glazige ogen aan.
Updates worden door veel mensen (die geen enkele IT affiniteit hebben), afgedaan als irritant en ongemakkelijk.

Pijnlijke waarheid helaas.
Ik denk dat veel/de meeste gebruikers dat inderdaad niet snappen. ik zie nog steeds mensen rond lopen met een verouderde Android op hun Galaxy van X jaar oud. Als ik dan zeg dat het slim is als ze die updaten, kijken ze je met hele glazige ogen aan.
Updates worden door veel mensen (die geen enkele IT affiniteit hebben), afgedaan als irritant en ongemakkelijk.

Pijnlijke waarheid helaas.
Maar het IS ook onhandig en moeizaam.
O pal mijn androidtoestellen die ik gehad heb, waren tussentijdse updates prima te installeren, geen rare dingen.
Maar major updates kwamen ALTIJD met batterydrains, doordat het oude OS niet 'goed' werd opgeruimd.
Er bleven processen open staan, die ook na een reboot niet verdwenen.
Major updates hadden elke keer een factory reset nodig, om daarna prima te werken ( tot de volgende OS update )
Dat was op de Galaxy S, tot NU aan toe, met de laatste update van de S9.

Elke keer weer staan de fora vol met 'waarom loopt mijn toestel zo snel leeg ?"
Het antwoord - doe een factory reset is dan de minst geliefde, maar wel de beste.

Hoezo 'ongemakkelijk en irritant' ?
Uhm... Absoluut niet. In ieder geval de 'digibeten' niet. Ik werk bij student aan huis en het is echt heel lastig om mensen te overtuigen dat office 2007 en WLM échte geen goed idee meer zijn.

Kwam van het weekend bij een klant die zelfs nog Vista en Office 2003 op z'n pc had staan. Hij wist wel dat het vervangen moet worden, maar ja, hij doet er toch niks mee... Mensen denken altijd dat ze niks te verbergen hebben en zij geen gevaar lopen...
Ik hoorde vorige week van iemand dat ze een appje had gekregen (via eerder contact via Marktplaats) waar ze niks van kon maken. Later die dag kreeg ze een ander appje van iemand die beweerde dat zij een berichtje zou moeten hebben gekregen die voor die persoon bestemd was en of ze dat wilde terugsturen. Dat deed ze waardoor niet veel later iedereen uit haar adresboek spam appjes kreeg.

WhatsApp had haar (server-side) al geblokkeerd want er was abnormaal veel activiteit tegelijk vanuit haar account. Client-side oplossing was om de app te verwijderen opnieuw te installeren.

Ik had daar serieus nog nooit van gehoord maar wellicht dat het ook met dit artikel te maken heeft?
Nee, dat is gewoon social engineering
Dat is waarschijnlijk de activatie SMS geweest. Een bekende tactiek is om te proberen in te loggen op jouw nummer, jij krijgt dan een activatie SMS en de aanvaller vraagt met een slaap excuus of je die aub door wil sturen. Plop, ze voeren de juiste code in en loggen in op je WhatsApp. En dan in de groepen (die worden immers serverside beheerd en komen weer tevoorschijn op welk toestel je dan ook inlogt) kijken naar de nummers en die aanschrijven om je geld te lenen. ;)

De politie waarschuwt daar al maanden voor. In het nieuws, op social media, (online) kranten. Dat mensen er nu nog intrappen is mij een raadsel. Om dit soort zaken nog meer te voorkomen kan je tweetrapsverificatie aanzetten (aanrader!), maar mensen die voor dit soort trucjes vallen weten waarschijnlijk niet wat dat is en waarom het zo belangrijk is.

[Reactie gewijzigd door WhatsappHack op 14 mei 2019 10:16]

Als er echt mensen zijn die zomaar een zojuist ontvangen SMS doorsturen naar iemand die ze niet kennen, ben ik wel erg teleurgesteld in de mensheid :X
Gebeurt veel op marktplaats en vanuit accounts van reeds gecompromitteerde vrienden (dus dan lijkt het van die vriend/familie af te komen). Hoeven niet perse onbekenden te zijn, maar het blijft erg dom - zeker de marktplaats variant. https://www.politie.nl/ni...voor-whatsapp-fraude.html
https://www.nu.nl/interne...smartphones-mogelijk.html
Het officiële beleid van het Israëlische bedrijf is dat zijn spionagesoftware niet tegen journalisten, activisten of advocaten gebruikt mag worden, maar alleen ingezet mag worden in de strijd tegen terrorisme en andere criminaliteit.

https://www.nytimes.com/2...roup-whatsapp-spying.html
The WhatsApp hole was used to target a London lawyer who has been involved in lawsuits that accuse NSO Group of providing tools to hack the phones of Omar Abdulaziz, a Saudi dissident in Canada; a Qatari citizen; and a group of Mexican journalists and activists, the researchers said. The researchers believe the list of targets could be much longer.

Zeer ethisch bedrijf.
Wat in het ene land een journalist, activist of advocaat is, is in een ander land al snel een crimineel, terrorist of handlanger.
Die Saoedische dissident zal vast iets lelijks over het Saoedische koningshuis hebben ghezegd, waardoor hij volgens de Saoedische wet een terrorist of minstens een sympathisant van terroristen is. En die advocaat is daardoor volgens de Saoedische wet ook een sympathisant. Omdat het volgens de Saoedische wet misdadigers of terroristen zijn, wordt de software geheel volgens het officiële beleid van de NSO Group gebruikt..

Zulke claims doen het leuk op de website of een persbericht, maar heeft geen enkele waarde.
Wie verkoopt zijn wapens aan de vijand ?
Het feit dat een israelisch nso deze applicatie verkoopt aan saoudi-arabie impliceert volgens mij dat er in die applicatie ook een backdoor zit.
Wie verkoopt zijn wapens aan de vijand ?
Iedere handelaar die ten koste van alles geld wil verdienen en het niet zo veel uit maakt hoe of aan wie.
Precies.

Toon ook goed aan in hoeverre boycotts en zo worden gehandhaafd. Alles voor de bühne, maar ondertussen hebben ze het allemaal achter de ellebogen.
Een beetje zoals de zwarte kousen die wel stiekem een TV op zolder hebben voor de wedstrijden van Oranje.
Een beetje zoals de zwarte kousen die wel stiekem een TV op zolder hebben voor de wedstrijden van Oranje.
En voor het jaarlijkse defilé op Koninginnedag. :)
Kan je überhaupt (via whatsapp) gebeld worden door contacten die je niet zelf hebt toegevoegd? Of is dit instelbaar?

edit: Ik kan alleen een 'block' optie zien. Jammer dat whitelisting niet mogelijk is.

[Reactie gewijzigd door Cio op 14 mei 2019 09:10]

Nee, net als met normale telefonie is het: wie je nummer heeft kan je bellen.
Hoe werkt dit dan op iOS? Kun je dan om de sandbox van whatsapp heen ofzo? En qua afluisteren, heeft het aan en uitzetten van de whatsapp microfoon toegang nog wat te zeggen?
Dat is het hele idee van een buffer overflow, dat je buiten de grenzen van de sandbox breekt.
Wat ik mij dan wel afvraag is waarom Whatsapp alléén deze update notes heeft: (iOS)

- You can now see stickers in full size when you long press a notification.

Versie: 2.19.51
Ik vind het wel interressant dat veiligheidsdiensten en techbedrijven zo'n wapenwedloop kunnen hebben. Het maken en verkopen van dit soort hacks aan de ene kant en patchen aan de andere.

Daarmee bedoel ik dat een bedrijf als Apple en bijvoorbeeld de NSA "aan dezelfde kant staan" maar elkaar toch tegenwerken.
Ja wie weet wie er nog meer misbruik van heeft gemaakt.
Overigens wel weer toeval (voor de zoveelste keer) dat ik echt een hater ben van die VoIP integratie sinds de invoering. Ik heb ook 1000x gevraagd om een optie om dit volledig uit te zetten, zonder dat Whatsapp ooit reactie gegeven heeft en nu blijkt de implementatie zo lek als een mandje.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Huawei

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True