Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 92 reacties

WhatsApp stelt de exploit onschadelijk te hebben gemaakt die het mogelijk maakte om de status van andere gebruikers te wijzigen. De kwetsbaarheid zelf wordt binnen 24 uur verholpen. WhatsApp wist al sinds september van het probleem.

Al in september werd WhatsApp van de kwetsbaarheid op de hoogte gebracht, maar pas nadat Tweakers.net vrijdag over een website schreef die van het probleem misbruik maakte, nam WhatsApp de moeite om het probleem op te lossen. Tegenover The Verge heeft WhatsApp aangegeven dat de tool, WhatsAppStatus.net, niet meer werkt. De komende 24 uur moet het probleem met betere patches definitief worden opgelost. De bug zelf is dus nog niet opgelost: alleen de specifieke exploit werkt niet meer.

De kwetsbaarheid zit in de xmpp-implementatie van WhatsApp. Bij het updaten van de status die wordt weergegeven in de lijst met contactpersonen, werd geen authenticatie toegepast, waardoor van elke gebruiker de status kon worden gewijzigd. Deze week maakte een hacker een exploit en implementeerde deze in een site, waar massaal gebruik van werd gemaakt.

Waarschijnlijk ging het om een Nederlandse hacker: de site werd door het Nederlandse LeaseWeb gehost en het voorbeeld-telefoonnummer die bij de tool werd weergegeven, bevatte de Nederlandse extensie '+31'. De identiteit van de hacker is onbekend.

Eerder ontdekte een lezer van Tweakers.net dat WhatsApp berichten onversleuteld opslaat. Kort daarvoor maakte een fout in de sms-verificatie van WhatsApp het mogelijk om berichten van anderen te lezen.

Update, 14:34: De kwetsbaarheid lijkt nu ook met andere tools niet meer te misbruiken.

WhatsApp-bug: Je vult iemands mobiele nummer en de gewenste status in...

Moderatie-faq Wijzig weergave

Reacties (92)

Het lek is inmiddels ook echt gedicht, tool werkt niet meer op verschillende (nieuwe) IP's.
Kunnen meer mensen dit bevestigen? begrijp me niet verkeerd Mikerd, maar hoe meer bronnen hierover hoe beter :-)
Aangezien het lek toch dicht is, hierbij broncode van mijn tool (die 10 minuutjes in mijn comment heeft gestaan).

Zoals je misschien kan zien is het een POST naar een php file met je countrycode, telefoonnummer (incl countrycode..) en de message. UserAgent zit er bij voor zekerheid, niet getest of dit echt impact had.

Source: http://pastebin.com/LuE7c5Kq
Bedankt voor de source! :-) vind het intressant om te zien hoe simpel deze exploit eigenlijk is, en ik kom meteen weer op een nieuw ( eng ) idee wat ik even wil testen... :-P
Het is inderdaad ontzettend simpel. Iemand moet eigenlijk nog even de packet loggen die nu verstuurd wordt, want de apps zijn niet veranderd en status updates werken nog wel. Er is dus een extra check toegevoegd, die is misschien wel weer na te bootsen.
Ik heb even Shark voor Android erover heen gegooid, en de berichten worden encrypted verstuurd. Ik heb geen pakketje gezien dat mijn nieuwe status en/of telefoonnummer stuurde naar de whatsapp servers, oftewel, dat deel gebeurd encrypted.

Zou het kunnen zijn dat de applicatie al encrypted de status-update verstuurde en dat de methode die jij gebruikt hebt een functie was die niet meer gebruikt werd?

Misschien veranderden ze vroeger zo de status en hebben ze - toen het lek aan het licht kwam - in een update dat lek gefixt. En dat ze dan de oude methode nog even hebben laten werken voor de mensen die nog niet geupdate hebben naar de laatste versie?
Je moet niet gesprekken loggen, enkel het pakketje is nodig dat wordt verstuurd zodra je opslaan drukt bij je status. Dat is als het goed is een POST naar s.whatsapp.net.
Mooie tool, wel je identiteit volgende keer beter afschermen.;)
Mijn identiteit? Die site is uberhaupt niet van mij, dit is mijn eigen tool nadat ik zelf de packet heb gelogged.
Hehe. WhatsApp heeft net een nederlandstalige tweet de wereld in gestuurd. Dat is wel erg gericht naar de nederlanders. :P.

[Reactie gewijzigd door Naj_Geetsrev op 6 januari 2012 13:44]

Best wel typisch dat ze een Nederlandstalige bericht eruit gooien, alsof andere landen dit niet weten dat die lek er is.
Dat vraag ik mij nou ook af. Ik kan me niet een buitenlandse tech site herinneren die hier ook over heb bericht. Niet dat ik veel op andere techsites kom. :P.
Kwetsbaarheid met betrekking tot statussen is aangepakt. Meer beveiligingsoplossingen in de komende 24 uur.
Bron: https://twitter.com/#!/WhatsApp/status/155260043976122368
Net even mijn eigen tool getest, lek is nog aanwezig, IP zal wel geblokkeerd zijn.

Weet niet of hij het uit gaat houden o.i.d. en heb geen layout of iets gemaakt:
[knip]

Edit: Originele tool lijkt weer up, en mijn ip is nu geblokkeerd of het is echt opgelost. Even bijhouden.

Edit2: Het lek is gedicht (zie latere comment)

[Reactie gewijzigd door Mikerd op 6 januari 2012 13:37]

Zou je jouw tool met ons kunnen delen, zodat we er zeker van zijn dat dit op de langere termijn wťl opgelost wordt?
Ik heb de link toegevoegd aan eerdere comment.
Eigenlijk doelde ik op de broncode...
Comment geplaatst nu het lek gedicht is, zie hier:

http://tweakers.net/react...=Posting&ParentID=5231003
Ik krijg een warning...
Warning: mkdir() [function.mkdir]: File exists in /usr/home/whatsapp/public_html/s.whatsapp.net/client/iphone/u.php on line 31

Result: 1
Dat gebeurt aan de kant van WhatsApp zo te zien!
Kunnen we even alle eer die tweakers.net aan zichzelf toeschrijft in dit berichtje aan de oorspronkelijke hacker doneren?

Dank u.
We geven hackers altijd credit, maar we weten simpelweg niet wie het is. Daarnaast is het gewoon correct wat er staat: Tweakers.net schreef er over, andere media namen het over en het werd opeens wel opgepakt.
Inderdaad,
Vrijdag bracht Tweakers.net de kwetsbaarheid naar buiten, maar hij bestond al maanden.
Dit is in mijn ogen een beetje gemeen.
pas nadat Tweakers.net vrijdag over een website schreef die van het probleem misbruik maakte, nam WhatsApp de moeite om het probleem op te lossen.
Hoe komen jullie tot die conclusie? Het Whatsapp team bestaat zover ik weet maar uit een paar tientallen en anders een paar 100 mensen, een bug wat in eerste instantie geen probleem lijkt te zijn daar ga je geen grote groep mensen aan laten werken, wel als er idd echt iets mis gaat, maar ik vond dat ze het anders wel erg snel weer hebben kunnen fixen dus er was zeker al naar georiŽnteerd ;) Verder vind ik het ook een beetje off topic, zo'n mening in een artikel. Maar dat zal vast aan mij liggen.
Het zijn inderdaad maar een paar mensen :) Wel heel erg vriendelijk en behoorlijk skilled in wat ze doen. Waarom dit zo lang op zich heeft laten wachten is mij ook een raadsel. Mijn verificatie kraak van een tijdje geleden, ook genoemd in dit bericht, was binnen een uur nadat ze m'n bericht hadden gevonden gepatched op Symbian, Android en iPhone. Hoewel het sneller had gekund als de email sneller was gelezen is dat toch nog zeer redelijk gezien ze pas vanaf dat moment "aware" waren :)
Waarschijnlijk hebben ze gewoon zijn Server IP geblokkeerd, want hoe kan het nou dat een probleem bijna een jaar ligt, het nu binnen 24 uur wordt opgelost...

[Reactie gewijzigd door poepkop op 6 januari 2012 13:38]

Prioriteiten stellen. En negatief in het nieuws komen wordt meestal niet erg leuk gevonden.
Ook het eerste wat in mij opkwam.

Misschien zijn ze het voor de lange termijn nog aan het fixen, en hebben ze voorlopig de website geblacklist.
Als dit echt zo is, dan mogen we hopen dat deze "hacker" zijn broncode beschikbaar stelt, zodat het weer misbruikt zal worden, en nu voorgoed gedicht wordt.
Zoals wij bij het bedrijf altijd zeggen "10 million 5 minute jobs to do ;)"
Als enkel het IP geblokkeerd is kan er simpel een ander IP ingesteld worden. Meeste servers in DC's/Netwerk van leaseweb krijgen meerdere IP adressen. Hoop dat de engineers van Whatsapp toch niet zo dom zijn.. Een volledige /24 range blokkeren zou een betere oplossing zijn.
Bij Leaseweb krijg je gewoon standaard 1ip, anders mag je bijbetalen hoor
Zakelijk krijg je vrijwel altijd een IP blok. Dat heeft niks met hosting te maken maar gewoon met internet verbindingen. Ga jij dus iemand blokken moet je altijd zo'n blok pakken
Kijk je moet het zo zien:

Dat soort bedrijven hebben heel veel problemen en die worden naar prioriteit ingedeeld

Deze exploit was blijkbaar niet zo belangrijk en had dus een lagere prioriteit dan andere problemen.

Maar nu het door de media is opgepikt en hierdoor de naam van het bedrijf wordt besmeurd krijgt het opeens een veel hogere prioriteit en wordt het snel opgelost.

Edit: Het lijkt niet meer te werken, netjes gedaan WhatsApp!

[Reactie gewijzigd door Robbertjan94 op 6 januari 2012 13:37]

Helemaal niet netjes gedaan! Dit is het soort bug wat een hoge prioriteit dient te krijgen, aangezien het een reŽel beveiligingsrisico betekend voor de gebruikers. Ze wisten al 4 maanden van de bug, maar nu het groot nieuws is, is het ineens zo opgelost.

Dit betekend dus dat het oplossen van de bug blijkbaar niet zo'n enorme klus was, maar dat men er eerder niets aan deed omdat ze bezig waren met andere dingen en blijkbaar geen prioriteit geven aan bugs waar hun gebruikers toch niets van weten, dus WhatsApp krijgt er geen problemen mee. Alhoewel de gebruikers zich daar niet bewust van waren, liepen ze dus allemaal 4 maanden het risico om slachtoffer te worden van de bug, want hij was al wel ontdekt. Dat is een kwalijke zaak.
Toch jammer dat bedrijven en organisaties nooit de moeite nemen om op deze waarschuwingen in te gaan, totdat iemand het publiekelijk maakt!

3 maanden wachten en dan maar hopen dat niemand het ontdekt??
Je ziet nu wat negativiteit kan doen. En hoe groot tweakers eigenlijk is..... Serieus, nog geen paar uur verder en whatsapp gaat het oplossen. Mooi toch?
Heeft niets met Tweakers.net te maken. Deze site kwam vanmorgen volop in de media naar voren, dus het heeft puur te maken met het feit dat die site gelanceerd is (en iedereen ervan op de hoogte werd gebracht).
Heeft niets met Tweakers.net te maken. Deze site kwam vanmorgen volop in de media naar voren
...nadat Tweakers.net er over schreef, ja. Niet uit borstklopperij ofzo, maar ik wil wel graag de feiten even rechtzetten hier. Site was al een paar dagen in de lucht, maar media frenzy barstte pas na publicatie op T.net los.

[Reactie gewijzigd door Joost op 6 januari 2012 13:53]

Inderdaad, zo berichtte nu.nl met als bron Tweakers etc., berichten verschenen ook later dan op tweakers
Opzich mooi, maar WhatsApp had al veel eerder dit euvel op moeten lossen. Laat daarover geen twijfel bestaan!
Absoluut, het is gewoonweg schofterig dat het zo lang duurde. maar het wordt gefixt en dat telt ook.
Toch jammer dat bedrijven en organisaties nooit de moeite nemen om op deze waarschuwingen in te gaan, totdat iemand het publiekelijk maakt!
Dat denk jij, omdat het publiek alleen oog heeft voor zaken die wŤl gepubliceerd worden. Er zijn ook zat bedrijven die wel serieus omgaan met security-leak meldingen. In dat geval wordt het opgelost voordat het grote publiek er kennis van neemt.
Die ip-blokkade is toch wel een heel slappe work-around. Ik heb bijna last van plaatsvervangende schaamte.
Inderdaad, dat is naar mijn idee geen oplossing. Meer dweilen met de kraan open. Het tooltje wordt toch altijd sneller verspreid dan dat zei hun blocklist kunnen bijwerken.

Het blijft natuurlijk de vraag of deze bug echt prioriteit zou moeten hebben. Echte schade zal er niet mee aangericht kunnen worden. Zolang maar bekend is dat de statusmeldingen hun nonrepudiation eigenschap hebben verloren.
Voor hetzelfde geld zit er nog een lek in die pagina, in de vorm van SQL Injectie ofzo. Dan zouden ze verder van huis zijn :) Dus we weten niet of dit geen schade aan kan richten / aan had kunnen richten!
Dat is toch simpelweg niet het geval?

XMPP heeft naar mijn idee geen SQL backend...

Het zou misschien wel vatbaar kunnen zijn voor XSS attacks. Hoewel ik niet zeker ben of je gemakkelijk links in je whatsapp statusbericht kunt plaatsen.

[Reactie gewijzigd door CUnknown op 6 januari 2012 13:53]

Maar is wel het snelste wat je kan doen, of je moet de hele dienst uitschakelen ;)
Zouden ze niet gewoon het ip adres / url van de site geblocked hebben O-)
Kom er net achter van wel idd :) Vanaf andere hosts werkt het nog prima!
Zijn er eigenlijk alternatieven voor WhatsApp die berichten wel versleurd verstuurd?
Misschien Ebuddy XMS.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True