WhatsApp werkt aan fix voor statusbug - update

WhatsApp stelt de exploit onschadelijk te hebben gemaakt die het mogelijk maakte om de status van andere gebruikers te wijzigen. De kwetsbaarheid zelf wordt binnen 24 uur verholpen. WhatsApp wist al sinds september van het probleem.

Al in september werd WhatsApp van de kwetsbaarheid op de hoogte gebracht, maar pas nadat Tweakers.net vrijdag over een website schreef die van het probleem misbruik maakte, nam WhatsApp de moeite om het probleem op te lossen. Tegenover The Verge heeft WhatsApp aangegeven dat de tool, WhatsAppStatus.net, niet meer werkt. De komende 24 uur moet het probleem met betere patches definitief worden opgelost. De bug zelf is dus nog niet opgelost: alleen de specifieke exploit werkt niet meer.

De kwetsbaarheid zit in de xmpp-implementatie van WhatsApp. Bij het updaten van de status die wordt weergegeven in de lijst met contactpersonen, werd geen authenticatie toegepast, waardoor van elke gebruiker de status kon worden gewijzigd. Deze week maakte een hacker een exploit en implementeerde deze in een site, waar massaal gebruik van werd gemaakt.

Waarschijnlijk ging het om een Nederlandse hacker: de site werd door het Nederlandse LeaseWeb gehost en het voorbeeld-telefoonnummer die bij de tool werd weergegeven, bevatte de Nederlandse extensie '+31'. De identiteit van de hacker is onbekend.

Eerder ontdekte een lezer van Tweakers.net dat WhatsApp berichten onversleuteld opslaat. Kort daarvoor maakte een fout in de sms-verificatie van WhatsApp het mogelijk om berichten van anderen te lezen.

Update, 14:34: De kwetsbaarheid lijkt nu ook met andere tools niet meer te misbruiken.

WhatsApp-bug: Je vult iemands mobiele nummer en de gewenste status in...

Reacties (92)

Mikerd 6 januari 2012 13:35

Het lek is inmiddels ook echt gedicht, tool werkt niet meer op verschillende (nieuwe) IP's.

Xantios @Mikerd • 6 januari 2012 13:47

Kunnen meer mensen dit bevestigen? begrijp me niet verkeerd Mikerd, maar hoe meer bronnen hierover hoe beter :-)

Mikerd @Xantios • 6 januari 2012 13:51

Aangezien het lek toch dicht is, hierbij broncode van mijn tool (die 10 minuutjes in mijn comment heeft gestaan).

Zoals je misschien kan zien is het een POST naar een php file met je countrycode, telefoonnummer (incl countrycode..) en de message. UserAgent zit er bij voor zekerheid, niet getest of dit echt impact had.

Source: http://pastebin.com/LuE7c5Kq

Xantios @Mikerd • 6 januari 2012 13:57

Bedankt voor de source! :-) vind het intressant om te zien hoe simpel deze exploit eigenlijk is, en ik kom meteen weer op een nieuw ( eng ) idee wat ik even wil testen... :-P

Mikerd @Xantios • 6 januari 2012 14:03

Het is inderdaad ontzettend simpel. Iemand moet eigenlijk nog even de packet loggen die nu verstuurd wordt, want de apps zijn niet veranderd en status updates werken nog wel. Er is dus een extra check toegevoegd, die is misschien wel weer na te bootsen.

fifarunnerr @Mikerd • 6 januari 2012 14:58

Ik heb even Shark voor Android erover heen gegooid, en de berichten worden encrypted verstuurd. Ik heb geen pakketje gezien dat mijn nieuwe status en/of telefoonnummer stuurde naar de whatsapp servers, oftewel, dat deel gebeurd encrypted.

Zou het kunnen zijn dat de applicatie al encrypted de status-update verstuurde en dat de methode die jij gebruikt hebt een functie was die niet meer gebruikt werd?

Misschien veranderden ze vroeger zo de status en hebben ze - toen het lek aan het licht kwam - in een update dat lek gefixt. En dat ze dan de oude methode nog even hebben laten werken voor de mensen die nog niet geupdate hebben naar de laatste versie?

Mikerd @fifarunnerr • 6 januari 2012 15:04

Je moet niet gesprekken loggen, enkel het pakketje is nodig dat wordt verstuurd zodra je opslaan drukt bij je status. Dat is als het goed is een POST naar s.whatsapp.net.

DennusB @Xantios • 6 januari 2012 13:48

Bevestigd.

bones @Mikerd • 6 januari 2012 14:41

Mooie tool, wel je identiteit volgende keer beter afschermen.;)

Mikerd @bones • 7 januari 2012 09:43

Mijn identiteit? Die site is uberhaupt niet van mij, dit is mijn eigen tool nadat ik zelf de packet heb gelogged.

Naj_Geetsrev 6 januari 2012 13:26

Hehe. WhatsApp heeft net een nederlandstalige tweet de wereld in gestuurd. Dat is wel erg gericht naar de nederlanders.

[Reactie gewijzigd door Naj_Geetsrev op 25 juli 2024 21:26]

Frozenhands @Naj_Geetsrev • 6 januari 2012 13:32

Best wel typisch dat ze een Nederlandstalige bericht eruit gooien, alsof andere landen dit niet weten dat die lek er is.

Naj_Geetsrev @Frozenhands • 6 januari 2012 13:48

Dat vraag ik mij nou ook af. Ik kan me niet een buitenlandse tech site herinneren die hier ook over heb bericht. Niet dat ik veel op andere techsites kom.

thof

@Naj_Geetsrev • 6 januari 2012 13:32

Kwetsbaarheid met betrekking tot statussen is aangepakt. Meer beveiligingsoplossingen in de komende 24 uur.

Bron: https://twitter.com/#!/WhatsApp/status/155260043976122368

Mikerd 6 januari 2012 13:12

Net even mijn eigen tool getest, lek is nog aanwezig, IP zal wel geblokkeerd zijn.

Weet niet of hij het uit gaat houden o.i.d. en heb geen layout of iets gemaakt:
[knip]

Edit: Originele tool lijkt weer up, en mijn ip is nu geblokkeerd of het is echt opgelost. Even bijhouden.

Edit2: Het lek is gedicht (zie latere comment)

[Reactie gewijzigd door Mikerd op 25 juli 2024 21:26]

Oeroeg @Mikerd • 6 januari 2012 13:17

Zou je jouw tool met ons kunnen delen, zodat we er zeker van zijn dat dit op de langere termijn wél opgelost wordt?

Mikerd @Oeroeg • 6 januari 2012 13:19

Ik heb de link toegevoegd aan eerdere comment.

Oeroeg @Mikerd • 6 januari 2012 13:22

Eigenlijk doelde ik op de broncode...

Mikerd @Oeroeg • 6 januari 2012 13:51

Comment geplaatst nu het lek gedicht is, zie hier:

http://tweakers.net/react...=Posting&ParentID=5231003

Jorizzz @Mikerd • 6 januari 2012 13:23

Ik krijg een warning...

Warning: mkdir() [function.mkdir]: File exists in /usr/home/whatsapp/public_html/s.whatsapp.net/client/iphone/u.php on line 31

Result: 1

DennusB @Jorizzz • 6 januari 2012 13:23

Dat gebeurt aan de kant van WhatsApp zo te zien!

Psycho_Mantis @Mikerd • 6 januari 2012 13:24

Held! $_/-\o_$

Awaken1 6 januari 2012 13:16

Kunnen we even alle eer die tweakers.net aan zichzelf toeschrijft in dit berichtje aan de oorspronkelijke hacker doneren?

Dank u.

Auteur

Joost @Awaken1 • 6 januari 2012 13:29

We geven hackers altijd credit, maar we weten simpelweg niet wie het is. Daarnaast is het gewoon correct wat er staat: Tweakers.net schreef er over, andere media namen het over en het werd opeens wel opgepakt.

Oeroeg @Awaken1 • 6 januari 2012 13:19

Inderdaad,

Vrijdag bracht Tweakers.net de kwetsbaarheid naar buiten, maar hij bestond al maanden.

Dit is in mijn ogen een beetje gemeen.

Nimac91 7 januari 2012 04:17

pas nadat Tweakers.net vrijdag over een website schreef die van het probleem misbruik maakte, nam WhatsApp de moeite om het probleem op te lossen.

Hoe komen jullie tot die conclusie? Het Whatsapp team bestaat zover ik weet maar uit een paar tientallen en anders een paar 100 mensen, een bug wat in eerste instantie geen probleem lijkt te zijn daar ga je geen grote groep mensen aan laten werken, wel als er idd echt iets mis gaat, maar ik vond dat ze het anders wel erg snel weer hebben kunnen fixen dus er was zeker al naar georiënteerd

Verder vind ik het ook een beetje off topic, zo'n mening in een artikel. Maar dat zal vast aan mij liggen.

WhatsappHack

Privacy
Mobiele besturingssystemen

@Nimac91 • 7 januari 2012 05:15

Het zijn inderdaad maar een paar mensen

Wel heel erg vriendelijk en behoorlijk skilled in wat ze doen. Waarom dit zo lang op zich heeft laten wachten is mij ook een raadsel. Mijn verificatie kraak van een tijdje geleden, ook genoemd in dit bericht, was binnen een uur nadat ze m'n bericht hadden gevonden gepatched op Symbian, Android en iPhone. Hoewel het sneller had gekund als de email sneller was gelezen is dat toch nog zeer redelijk gezien ze pas vanaf dat moment "aware" waren

poepkop 6 januari 2012 13:04

Waarschijnlijk hebben ze gewoon zijn Server IP geblokkeerd, want hoe kan het nou dat een probleem bijna een jaar ligt, het nu binnen 24 uur wordt opgelost...

[Reactie gewijzigd door poepkop op 25 juli 2024 21:26]

Pino112 @poepkop • 6 januari 2012 13:05

Prioriteiten stellen. En negatief in het nieuws komen wordt meestal niet erg leuk gevonden.

bouvrie @poepkop • 6 januari 2012 13:05

Ook het eerste wat in mij opkwam.

Misschien zijn ze het voor de lange termijn nog aan het fixen, en hebben ze voorlopig de website geblacklist.

Oeroeg @poepkop • 6 januari 2012 13:06

Als dit echt zo is, dan mogen we hopen dat deze "hacker" zijn broncode beschikbaar stelt, zodat het weer misbruikt zal worden, en nu voorgoed gedicht wordt.

Mellow Jack

Mobiele besturingssystemen

@poepkop • 6 januari 2012 13:08

Zoals wij bij het bedrijf altijd zeggen "10 million 5 minute jobs to do ;)"

j0eyv @poepkop • 6 januari 2012 13:15

Als enkel het IP geblokkeerd is kan er simpel een ander IP ingesteld worden. Meeste servers in DC's/Netwerk van leaseweb krijgen meerdere IP adressen. Hoop dat de engineers van Whatsapp toch niet zo dom zijn.. Een volledige /24 range blokkeren zou een betere oplossing zijn.

GrooV @j0eyv • 6 januari 2012 13:27

Bij Leaseweb krijg je gewoon standaard 1ip, anders mag je bijbetalen hoor

Mellow Jack

Mobiele besturingssystemen

@GrooV • 6 januari 2012 13:51

Zakelijk krijg je vrijwel altijd een IP blok. Dat heeft niks met hosting te maken maar gewoon met internet verbindingen. Ga jij dus iemand blokken moet je altijd zo'n blok pakken

Robbertjan94 @poepkop • 6 januari 2012 13:28

Kijk je moet het zo zien:

Dat soort bedrijven hebben heel veel problemen en die worden naar prioriteit ingedeeld

Deze exploit was blijkbaar niet zo belangrijk en had dus een lagere prioriteit dan andere problemen.

Maar nu het door de media is opgepikt en hierdoor de naam van het bedrijf wordt besmeurd krijgt het opeens een veel hogere prioriteit en wordt het snel opgelost.

Edit: Het lijkt niet meer te werken, netjes gedaan WhatsApp!

[Reactie gewijzigd door Robbertjan94 op 25 juli 2024 21:26]

XplodingForce @Robbertjan94 • 8 januari 2012 21:51

Helemaal niet netjes gedaan! Dit is het soort bug wat een hoge prioriteit dient te krijgen, aangezien het een reëel beveiligingsrisico betekend voor de gebruikers. Ze wisten al 4 maanden van de bug, maar nu het groot nieuws is, is het ineens zo opgelost.

Dit betekend dus dat het oplossen van de bug blijkbaar niet zo'n enorme klus was, maar dat men er eerder niets aan deed omdat ze bezig waren met andere dingen en blijkbaar geen prioriteit geven aan bugs waar hun gebruikers toch niets van weten, dus WhatsApp krijgt er geen problemen mee. Alhoewel de gebruikers zich daar niet bewust van waren, liepen ze dus allemaal 4 maanden het risico om slachtoffer te worden van de bug, want hij was al wel ontdekt. Dat is een kwalijke zaak.

dZinee 6 januari 2012 13:02

Toch jammer dat bedrijven en organisaties nooit de moeite nemen om op deze waarschuwingen in te gaan, totdat iemand het publiekelijk maakt!

3 maanden wachten en dan maar hopen dat niemand het ontdekt??

Verwijderd @dZinee • 6 januari 2012 13:08

Je ziet nu wat negativiteit kan doen. En hoe groot tweakers eigenlijk is..... Serieus, nog geen paar uur verder en whatsapp gaat het oplossen. Mooi toch?

plofkip @Verwijderd • 6 januari 2012 13:44

Heeft niets met Tweakers.net te maken. Deze site kwam vanmorgen volop in de media naar voren, dus het heeft puur te maken met het feit dat die site gelanceerd is (en iedereen ervan op de hoogte werd gebracht).

Auteur

Joost @plofkip • 6 januari 2012 13:51

Heeft niets met Tweakers.net te maken. Deze site kwam vanmorgen volop in de media naar voren

...nadat Tweakers.net er over schreef, ja. Niet uit borstklopperij ofzo, maar ik wil wel graag de feiten even rechtzetten hier. Site was al een paar dagen in de lucht, maar media frenzy barstte pas na publicatie op T.net los.

[Reactie gewijzigd door Joost op 25 juli 2024 21:26]

Paul - K @Joost • 6 januari 2012 14:00

Inderdaad, zo berichtte nu.nl met als bron Tweakers etc., berichten verschenen ook later dan op tweakers

Vlassie1980 @Verwijderd • 6 januari 2012 13:13

Opzich mooi, maar WhatsApp had al veel eerder dit euvel op moeten lossen. Laat daarover geen twijfel bestaan!

Verwijderd @Vlassie1980 • 6 januari 2012 13:33

Absoluut, het is gewoonweg schofterig dat het zo lang duurde. maar het wordt gefixt en dat telt ook.

bas.kb @dZinee • 6 januari 2012 13:10

Toch jammer dat bedrijven en organisaties nooit de moeite nemen om op deze waarschuwingen in te gaan, totdat iemand het publiekelijk maakt!

Dat denk jij, omdat het publiek alleen oog heeft voor zaken die wèl gepubliceerd worden. Er zijn ook zat bedrijven die wel serieus omgaan met security-leak meldingen. In dat geval wordt het opgelost voordat het grote publiek er kennis van neemt.

Fawn 6 januari 2012 13:33

Die ip-blokkade is toch wel een heel slappe work-around. Ik heb bijna last van plaatsvervangende schaamte.

CUnknown @Fawn • 6 januari 2012 13:40

Inderdaad, dat is naar mijn idee geen oplossing. Meer dweilen met de kraan open. Het tooltje wordt toch altijd sneller verspreid dan dat zei hun blocklist kunnen bijwerken.

Het blijft natuurlijk de vraag of deze bug echt prioriteit zou moeten hebben. Echte schade zal er niet mee aangericht kunnen worden. Zolang maar bekend is dat de statusmeldingen hun nonrepudiation eigenschap hebben verloren.

DennusB @CUnknown • 6 januari 2012 13:41

Voor hetzelfde geld zit er nog een lek in die pagina, in de vorm van SQL Injectie ofzo. Dan zouden ze verder van huis zijn

Dus we weten niet of dit geen schade aan kan richten / aan had kunnen richten!

CUnknown @DennusB • 6 januari 2012 13:49

Dat is toch simpelweg niet het geval?

XMPP heeft naar mijn idee geen SQL backend...

Het zou misschien wel vatbaar kunnen zijn voor XSS attacks. Hoewel ik niet zeker ben of je gemakkelijk links in je whatsapp statusbericht kunt plaatsen.

[Reactie gewijzigd door CUnknown op 25 juli 2024 21:26]