Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsonderzoekers vinden WhatsApp-bug die gesprekken laat crashen

Beveiligingsonderzoekers hebben een bug gevonden waarmee ze WhatsApp-berichten kunnen versturen die ervoor zorgen dat de app in een crashloop terechtkomt. Alleen een herinstallatie van de app kan de bug verhelpen. WhatsApp heeft een fix uitgebracht.

De bug zit volgens de beveiligingsonderzoekers van Check Point Research in het xmpp-protocol. De app zou namelijk het telefoonnummer dat bij berichten hoort, gebruiken om te identificeren van wie het bericht komt. De app kan alleen overweg met telefoonnummerreeksen die volledig bestaan uit cijfers en tussen de vijf en twintig tekens lang zijn.

Om misbruik te kunnen maken van de bug, moeten kwaadwillenden eerst berichten kunnen ontsleutelen, zodat ze ze kunnen bewerken. Dat kan volgens de onderzoekers via WhatsApp Web, zoals ze eerder beschreven. Wanneer de encryptiesleutels achterhaald zijn, kunnen berichten in privé- en groepsberichten worden ontsleuteld en gelezen worden in json-formaat.

Dan kan ook het telefoonnummer worden aangepast. Andere reeksen dan de eerder genoemde reeksen, zoals een e-mailadres, geven een null-waarde. Die null-waarde zorgt ervoor dat de applicatie crasht, in het geval van groepsberichten zal WhatsApp ook op telefoons van iedere deelnemer crashen. Wanneer de app daarna wordt geopend, crasht deze opnieuw.

Volgens de beveiligingsonderzoekers kan de app alleen worden hersteld door de applicatie opnieuw te installeren en de groep daarna te verwijderen. Daardoor is alle data in die groepsapp, zoals berichten en foto's, niet meer beschikbaar. Zowel Android- als iOS-gebruikers zijn vatbaar voor deze bug.

Daardoor zijn de gevolgen van deze bug volgens de onderzoekers 'mogelijk gigantisch', omdat er in groepsberichten belangrijke informatie kan worden gedeeld. De onderzoekers kwamen al in augustus achter dit probleem en lichtten WhatsApp toen in. Inmiddels is de fout gerepareerd in WhatsApp-versies 2.19.246 en hoger.

Door Hayte Hugo

Nieuwsposter

17-12-2019 • 15:50

30 Linkedin

Submitter: TheVivaldi

Reacties (30)

Wijzig sortering
Die versieaanduiding zal gaan om Android. die is nu genummerd met 2.19.362 vanaf 9dec 2019. Apple Versie 2.19.121 is ook release van 09 dec. [WhatsApp voor iOS] Ervaringen & Discussie
Ik heb op Android 2.19.360 en die is ook van 9 december. Is deze nu ook de gerepareerde versie?
Ik heb op Android 2.19.360 en die is ook van 9 december. Is deze nu ook de gerepareerde versie?
Dat kan aan je toestel liggen bij Android.
bij apple is versie 2.19.121 de nieuwste...
betekend dat dan dat deze nog steeds vatbaar is?

dat zou gek zijn aangezien de appstore niet aangeeft dat er een nieuwere versie is.
(Iphone 6S)
Uitrollen van updates duurt altijd eventjes op iOS: iemand bij Apple gaat eerst de boel reviewen en pas als het door de review komt (duurt vaak 1 of 2 dagen, soms wat langer) wordt het beschikbaar gemaakt. Ook als op die knop is gedrukt kan het een paar uur duren voordat de update wereldwijd voor iedereen zichtbaar en beschikbaar is.
Dat het een paar uur duurt wereldwijd klopt, net zoals op Google Play Store.
Maar voor dergelijke zaken bestaat er gewoon een expedited review, waarbij de update echt geen dag of meerdere dagen moet wachten op review. Zeker als je wat groter bent heb je een dedicated persoon bij Apple Review team die je dan helpt om de updates binnen paar uur wereldwijd beschikbaar te maken.
Ja zelfs online is er nog geen IOS update beschikbaar https://apps.apple.com/nl/app/whatsapp-messenger/id310633997
Zal nu zo wel komen, en zal dan ook wel druk zijn.
Ik vind het gek dat ze geen sanity check doen op netwerk data. Dit is namelijk data wat niet afkomstig is van hetzelfde process en dan is het gek als je deze niet netjes afhandelt met een check of de data en data formaat klopt. Goede programma’s en code conventies vangen dit af. Ipv corrupt data gebruiken waardoor je process onstabiel wordt en het ergens uiteindelijk crasht, geen idee waar en wat voor schade het aanricht.

De kern uit deze les:
Vertrouw data (of code) van buitenaf nooit.
Focus ligt toch op het binnenharken van gegevens:
Adresboek. U verstrekt ons, in overeenstemming met de toepasselijke wetgeving, regelmatig de telefoonnummers van WhatsApp-gebruikers en andere contacten in het adresboek van uw mobiele telefoon, waaronder van zowel de gebruikers van onze Diensten als uw andere contacten.

We eisen dat al deze gebruikers en bedrijven beschikken over wettelijke rechten om uw gegevens te verzamelen, gebruiken en delen voordat zij ons enige gegevens verstrekken.
Adresboek. U verstrekt ons, in overeenstemming met de toepasselijke wetgeving, regelmatig de telefoonnummers van WhatsApp-gebruikers en andere contacten in het adresboek van uw mobiele telefoon, waaronder van zowel de gebruikers van onze Diensten als uw andere contacten.
Vreemd dat al die whats app gebruikers die mij in de lijst hebben staan mij nog nooit om toestemming hebben gevraagd...(GDPR) terwijl de voorwaarden stellen dat ze die welhadden moeten hebben.

(FTR: ik ben geen WA gebruiker, Juist vanwege deze voorwaarde.).

[Reactie gewijzigd door tweaknico op 17 december 2019 16:50]

Je haalt een heel mooi punt aan, want inderdaad dit gebeurd niet.
En ook als jij geen gebruiker er van bent, en iemand anders heeft jou nummer in zijn contacten staan - Welkom in de data bundel genaamd facebook.
De AVG gaat over beheer van persoonsgegevens door bedrijven en overheidsinstanties, niet door privépersonen.
Aanvulling: Uit de AVG: ( https://gegevensbeschermi...epasselijkheid/index.html )
Als er persoonsgegevens worden verwerkt door een natuurlijk persoon (een mens van vlees en bloed) voor puur persoonlijke redenen, dan is de Algemene Verordening Gegevensbescherming niet van toepassing. Denk hierbij bijvoorbeeld aan het bijhouden van een adressenbestand van namen, adressen en telefoonnummers van je vrienden en familie op je computer.
Publicatie rechten heb je dus niet... dus ook niet het delen van de data met derden.
Dus ja in het kader van WA is AVG ook op jou van toepassing.

Maar JIJ vertelt WA dat je toestemming hebt om de data te delen..... (en herdelen door WA).
Dus de WA gebruiker liegt tegen WA (FB, ...) over deze toestemming, dat kan niet WA ten laste gelegd worden. (er zijn een hoop leugenaars in deze wereld denk ik).

Ik heb google, maar ik heb google play & gboard, "carrier services" wel de toegang tot m'n contacten ontzegd.
(Yep, dan maar geen backup bij google als alternatief heb ik een andere backup, ik gebruik een CardDAV service op een eigen server hiervoor).
En ja af en toe is er een melding over...

[Reactie gewijzigd door tweaknico op 18 december 2019 15:42]

Heb even gekeken en gelukkig is m'n WA versie al nieuwer dan de fix. (2.19.360).
Voor een applicatie als WA een best ernstige bug, dus mooi dat ze het gevonden > gemeld en opgelost hebbben.
Hmmm, ik zie dat de meest recente versie voor iOS 2.19.121 is in de AppStore ... dus nog geen fix voor iOS...

[Reactie gewijzigd door iMars op 17 december 2019 16:22]

Mijn humor is anders ook aardig effectief voor het laten crashen van Whatsapp-gesprekken.
Daardoor zijn de gevolgen van deze bug volgens de onderzoekers 'mogelijk gigantisch', ...
Nou, zo te zien is het enige wat je met deze kwetsbaarheid kunt doen, mensen pesten zodat hun WhatsApp het niet meer doet; het is niet zo dat een hacker nu ineens je berichten kan lezen. En het is ook simpel op te lossen door de app opnieuw te installeren.

Dus om dit nu 'gigantisch' te noemen klinkt nogal overdreven.
Ik begrijp dat ook niet.
Je hebt de key ook nog eens nodig omdat je moet ontsleutelen, het bericht aanpassen in json format en dan heb je een Whatsapp groep stukgemaakt...

Lijkt me minder erg dan het kunnen lezen van alle berichten omdat je die key dus hebt.

Maar neemt het weg dat het een slordige fout was.
Als iemand WA voor zijn/haar werk MOET gebruiken (bijv. winkels die op die manier contact onderhouden naast e-mail) of van de baas i.v.m. storingen e.d., dan is het wel iets lastiger. Zeker als die werktelefoons ook nog eens restricted zijn waardoor je niet zelf apps opnieuw kunt installeren...
Als de baas die restrictie instelt is het ook ‘t pakkie ‘an van de baas om het dan snel op te lossen natuurlijk.
... google: "sh!t rolls downhill", zonder de censuur.
Dat ontken ik ook niet? Ik geef alleen aan dat de gevolgen wél zeer verstorend zouden kunnen zijn.
Wanneer het enkel als communicatiekanaal wordt gebruikt levert alleen wat extra werk op. WhatsApp moet opnieuw geïnstalleerd worden, het gesprek of de groep moet gewist worden en opnieuw aangemaakt worden.
Wanneer je het gesprek of de groep ook als archief gebruikt, voor het bewaren van belangrijke informatie, dan ben je inderdaad de sjaak. Helemaal wanneer je WhatsApp zakelijk gebruikt. Dan hoort alle schriftelijke communicatie tot je bedrijfsadministratie, die je o.a. voor de Belastingdienst een X aantal jaar moet bewaren.
Een ietwat deftige organisatie heeft een backup continuity plan?
Niet elke organisatie is deftig?
Ontsleutelen kan toch niet?
WhatsApp heeft end-to-end encryptie, wat betekent dat alleen de apparaten die het bericht verzenden en ontvangen over de encryptiesleutels beschikken. Alles ertussenin (routers, servers en alle andere apparaten op het Internet waar de berichten over getransporteerd worden) hebben niet de encryptiesleutels en kunnen dus niet de berichten ontsleutelen.

Overheden enz. vinden dat niet leuk: die zouden het liefste een achterdeurtje op de server hebben om berichten af te tappen en te ontsleutelen.

Maar lokaal, dus op je telefoon, of op je PC als je WhatsApp Web gebruikt, kun je berichten die naar jouw telefoon of PC gestuurd zijn natuurlijk wel ontsleutelen. De onderzoekers hebben blijkbaar ook een manier om lokaal WhatsApp Web af te luisteren en ontsleutelde berichten te zien. Maar dat is geen beveiligingsprobleem, zolang dat alleen kan onder het account van de gebruiker voor wie de berichten bedoeld zijn. Het zou pas een beveiligingsprobleem zijn als een hacker vanaf een ander apparaat berichten zou kunnen ontsleutelen, of als dat zou kunnen vanaf een ander user account.

[Reactie gewijzigd door jj71 op 17 december 2019 19:34]

"Overheden enz. vinden dat niet leuk: die zouden het liefste een achterdeurtje op de server hebben om berichten af te tappen en te ontsleutelen"

Dat hebben ze. Enige wat ze nodig hebben is je mobiele nummer & je db files.
Daarmee kunnen ze een key aanvraag doen bij de servers van Whatsapp
Oxygen Forensic heeft het zelfs ingebouwd heb ik me laten vertellen (aangezien ik er zelf geen toegang toe heb immers ben reguliere burger)
Het is zelfs nog veel makkelijker, de Amerikaanse overheid kan onder de Patriot Act gewoon de backup van je gesprekken opvragen bij Google/Apple. Deze backup is niet encrypted.
Moet je die backups wel aan hebben staan ;)

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True