Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 131 reacties

Chatapplicatie WhatsApp is vrijdag uit de App Store voor iOS verdwenen. Grofweg een dag later is de app nog niet teruggekeerd. Waarom de applicatie offline is, is niet duidelijk, maar WhatsApp belooft een nieuwe versie uit te brengen.

Op Twitter liet het bedrijf achter de chatapplicatie weten dat de iOS-versie uit de downloadwinkel is gehaald, maar hiervoor werd geen reden gegeven. Inmiddels is de applicatie al ongeveer een dag niet meer te downloaden, maar een oorzaak is nog steeds niet bekend.

Het is onbekend wanneer iOS-gebruikers de app weer kunnen downloaden. Een aangepaste versie, die waarschijnlijk over bugfixes beschikt, is bij Apple aangeboden, maar moet nog goedgekeurd worden.

Onlangs bleek het mogelijk te zijn om bij WhatsApp-gebruikers het statusbericht aan te passen. Ondanks dat de maker beterschap beloofde, bleek de kwetsbaarheid nog steeds aanwezig te zijn. Het is niet waarschijnlijk dat dit de reden is dat de applicatie offline is gehaald: die kwetsbaarheid zat in de serverkant van WhatsApp en niet in de mobiele applicaties. Bovendien is de Android-versie nog gewoon te downloaden.

Moderatie-faq Wijzig weergave

Reacties (131)

Die kwetsbaarheid zat niet aan de serverkant, maar gewoon in de manier waarop WhatsApp dit aanpakt. Om dat te fixen, moet de client ook aangepast worden.
Een manier waarop dat kan, is de client (app) een unieke 'cookie' te laten genereren, die vervolgens meegestuurd wordt naar de server bij het updaten van statussen.
Het kan maar zo dat de nieuwe versie van WhatsApp een dergelijke fix implementeert, en daarom tijdelijk uit de appstore is verwijderd.

Een tweet van WhatsApp geeft ook aan dat een nieuwe versie onderweg is: https://twitter.com/#!/WhatsApp/status/157959336818257920

Meer informatie over de manier waarop WhatsApp die statussen zet kan je vinden in 't artikel dat ik eerder deze week heb gepost: http://www.wiretrip.org/2...whatsappstatus-net-works/
Dit komt overeen met wat iichel hierboven zegt.
Ach ja, ze zeggen zelf dat ze een nieuwe versie geupload hebben naar Apple. De reden dat de makers van WhatsApp zullen wel een zware bug gevonden hebben. Het heeft waarschijnlijk niets met die andere status bug te maken, want dat was een bug op de server.

Wel weer apart dat Android fan-boys dit weer aangrijpen om te klagen over de macht die Apple heeft op de AppStore en dat je daarom maar beter over kunt stappen. WhatsApp heeft het zelf verwijderd.

[Reactie gewijzigd door HerrPino op 14 januari 2012 20:15]

Ik heb net een expirimentje gedaan naar de status-bug en het is nu (tijdelijk, hoop ik) verholpen door te kijken of de client is verbonden en zo ja of het source-ip hetzelfde is als waar het status-update-request vandaan komt. Vandaar dat de applicatie niet geupdatet hoefde te worden.
In mijn ogen is dit een ongelofelijk smerige oplossing en niet eens waterdicht voor providers waarbij de klanten achter een NAT-router zitten.
Dit is een dump van het verkeer als je je status wil updaten:
POST /client/iphone/u.php HTTP/1.1
Connection: close
Content-Length: 32
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Host: s.whatsapp.net:443
User-Agent: WhatsApp/2.7.1528 Android/2.3.7 Device/HTC-HTC_Desire

cc=31&me=316<mijn_nummer>&s=Available

HTTP/1.1 200 OK
X-Powered-By: PHP/5.2.11
Content-type: text/html
Connection: close
Transfer-Encoding: chunked
Date: Sun, 15 Jan 2012 00:15:06 GMT
Server: lighttpd/1.4.24

bf
<br />
<b>Warning</b>: mkdir() [<a href='function.mkdir'>function.mkdir</a>]: File exists in <b>/usr/home/whatsapp/public_html/s.whatsapp.net/client/iphone/u.php</b> on line <b>38</b><br />

0
Een paar dingen
  • Ja, de error die je hierboven ziet is echt: php die huilt in productie environment. Behoorlijk beschamend
  • Data die ik heel graag prive houd wordt plaintext verstuurd (nota bene over poort 443)
  • Status-updates worden encrypted verstuurd (waarom dit dan weer wel?). Eerst zonder verificatie en nu door verificatie van het IP-adres
  • Dit is niet de eerste design flaw in Whatsapp: eerder was het ook al mogelijk om de accounts van willekeurige telefoons over te nemen door de afzender van het activerings-smsje te spoofen
Alles bij elkaar opgeteld zou ik willen betogen dat deze luitjes veel te weinig idee hebben van security. Ik vind het daarom eigenlijk onverantwoord om ze te vertrouwen met de grote hoeveelheid privedata waar het hier om gaat. Tijd dat mensen zich hier een beetje bewust van worden want eerlijk gezegd leef ik erg uit naar de dag waarop al mn vrienden zijn overgestapt op een alternatief.

Pfoe dat moest ik echt even kwijt ;)

[Reactie gewijzigd door CARLiCiOUS op 15 januari 2012 13:53]

Prachtig toch hoeveel macht Apple heeft op hun store.
Als een appbakker een potje ervan maakt. gooit apple je er gewoon af:)

Ik wil dat Google wel eens zien doen in hun market ;)
Prachtig toch hoeveel macht Apple heeft op hun store.
Als een appbakker een potje ervan maakt. gooit apple je er gewoon af:)
Waar lees jij dat Apple op eigen initiatief de app heeft verwijderd?

(Sowieso kansloze opmerking... "Prachtig toch hoeveel macht Jumbo heeft op hun eigen winkels." Ja, duh.)
Ik wil dat Google wel eens zien doen in hun market
Hebben ze al meermaals gedaan. Niet alleen in hun market, maar ze gooien het voor het gemak ook van je telefoon. Uit de Google Mobile blog:
We are remotely removing the malicious applications from affected devices. This remote application removal feature is one of many security controls the Android team can use to help protect users from malicious applications.
Apple heeft ook een dergelijk mechanisme in iOS, maar heeft er in tegenstelling tot Google, tot op heden nog geen gebruik van gemaakt.

[Reactie gewijzigd door 19339 op 14 januari 2012 19:16]

De makers hebben het volgens mij inderdaad de app zelf offline gehaald. Nergens lees ik dat Apple dat heeft gedaan.
Als je het niet eens bent met wat Jumbo verkoop kun je naar een andere winkel gaan. Maar Apple zorgt er ook nog eens voor dat je met hun iPhone alleen maar bij de Apple store k˙nt kopen.

Natuurlijk: nog steeds kun je stellen dat Apple mag doen wat ze willen en dat je anders maar een ander merk telefoon moet kopen.
"Ik wil dat Google wel eens zien doen in hun market :)"

Sterker nog, Google haalt ook vaak genoeg apps uit de market, maar dat komt omdat ze soms achteraf controleren. Het gevolg van die slechte controle is onder andere malware en software die niet op alle Android apparaten zo goed draait als je zou willen.

En daarnaast is Google de enige die ook daadwerkelijk apps heeft verwijderd van apparaten. Zodra Apple een app uit de App Store haalt, kan je de app nog steeds blijven gebruiken als je 'm op je apparaat (of in iTunes op je computer) hebt.
Je draait hier en daar toch wat om. Als Google een applicatie uit de market haalt dan blijft die applicatie in de meeste gevallen gewoon ge´nstalleerd staan op het toestel. Google zal alleen applicaties op afstand van je toestel verwijderen als het om malware gaat waardoor er gevaar is.

Apple zou precies hetzelfde doen als er malware via de app store ge´nstalleerd was.
Ik vrees dat dit de voorbode is van een grondige hervorming van Whatsapp waarvan ze vermoeden dat gebruikers het neit leuk gaan vinden.

Waarom anders pullen ze zelf hun eigen huidige versie van de App (Als apple die had gepulled hadden ze dit wel vermeld)?
Ik vrees dat de nieuwe geŘpdatete versie met ads of een betaalsysteem (betalen per jaar zoals op android komt) komt.

Noem me paranoia, maar ik zou iOS gebruikers aanraden de volgende update pas toe te passen als ze weten wat die exact inhoudt.
Zit wat in. Whatsapp kan immers ook niet tot in lengte van dagen gratis blijven. Op een gegeven moment moet er toch een levensvatbaar business model worden ge´ntroduceerd om de investeringen terug te gaan verdienen.

En het grappige is: als de telecom operators echt willen, kunnen ze SMS van de ene op de andere gratis maken (of in ieder geval megabundels introduceren) en zo het hele OTT business model van Whatsapp om zeep helpen.
Whatsapp is meestal 0,79 euro voor iOS. Dus er is al een verdien model.
Met 79 cent kun je neit tot in de eeuwigheid een service aanbieden he ;)

Er komt uiteidnelijk dus wel een andere vorm van inkomsten: Ofwel reclame (maar dat denk ik niet) ofwel een jaarlijkse kost.

Dat laatste heeft WhatsApp al aangekondigd voor de Android-verise: die zal 1$/jaar gaan kosten na het eerste jaar gebruik.
Niet helemaal: ik gebruik WhatsApp om mijn buitenlandse vrienden te contacteren. Via SMS zal dat nog een hele tijd extra veel geld blijven kosten ;)
Dat zou opzich wel raar zijn voor de iOS versie. Die kocht je namelijk i.t.t. de Android versie.
Voor 80 cent tot in de eeuwigheid een service gebruiken lijkt me geen goed businessmodel ;)
Er zijn genoeg goede alternatieven. Maak de laatste tijd gebruik van Ebuddy XMS. Erg stabiel en snel. Genoeg spelers op de markt gelukkig
Maak de laatste tijd gebruik van Ebuddy XMS. Erg stabiel en snel.
Aha, ben jij de andere gebruiker. Ja het is snel, en stabiel. Als je iemand kunt vinden die het ook gebruikt.

Ik heb het een tijdje op mijn phone gehad, werkelijk niemand uit mijn vriendenkring had het, eentje probeerde het na een tijdje en gooide het er weeraf met als argument: Niemand kent het en gebruikt het. Ik heb het dus ook weer verwijderd.

Kip en Ei, iedereen kent Whatsapp, dus iedereen wil het en omdat iedereen het gebruikt, kent iedereen het
[...]
Kip en Ei, iedereen kent Whatsapp, dus iedereen wil het en omdat iedereen het gebruikt, kent iedereen het
Ja idd. Al denk ik niet dat Whatsapp zich veel van deze geintjes kan veroorloven, want dan kiest de consument gewoon voor een concurrent. Kijk maar naar alle Hyves gebruikers die overstappen naar Facebook. Vraag me wel af waarom deze app nog in de Android Market staat.
Goede alternatieven? Wat dan? Noor weet wat anders dan Whatsapp
Zit je dan met je alternatief, en al je vrienden zitten op WHatsapp. Lekker gezellig zo in je eentje he
even niet haten jongens.. slaat nergens op namelijk!

nogmaals wat beatboxx zegt:

Ze hebben zelf op twitter gemeld dat een nieuwe versie van de app al is geupload naar apple, maar nog wacht op goedkeuring
Werkt whatsapp nog wel bij mensen die hem al hebben gedownload?
Indien dat zo is lijkt het me sterk dat de reden ligt bij de "status change bug"
Hier geen problemen. Het werkt nog gewoon zoals altijd.
Als ik het me goed herrinner, stuurde de hacktool een berichtje naar de Whatsapp servers om de status te veranderen.

Met de volgende gegevens:
"cc=31&me=TELEFOONNUMMER&s=STATUS TEKST"

Met user-agent: "User-Agent:WhatsApp/2.6.7 iPhone_OS/5.0.1 Device/Unknown_(iPhone4,1)"

Wellicht dat ze de verificatie van de iOS client dusdanig veranderen dat dit niet meer mogelijk is.
Het is niet waarschijnlijk dat dit de reden is dat de applicatie offline is gehaald: die kwetsbaarheid zat in de serverkant van WhatsApp en niet in de mobiele applicaties. Bovendien is de Android-versie nog gewoon te downloaden
Als ze de server aanpassen, bijvoorbeeld dat voortaan een authenticatie token benodigd is bij status-updates, zal die client toch echt ook aangepast moeten worden om die mee te sturen.
Voor het geval mensen komen mekkeren dat het door Apple komt (wie weet, misschien is het zo), en dat Apple daarmee dus komt beslissen wat jij wel of niet mag/kan/wil/gaat doen, en dat je daarom niets met dit geval te maken wil hebben:

- Je bent niet verplicht het product te kopen
- Als je het product koopt ben je niet verplicht het te gebruiken
- Als je het product gebruikt, ga je akkoord met de voorwaarden: sta niet zo vies te kijken als niet aan je verwachtingen wordt voldaan, want het staat toch duidelijk in de voorwaarden beschreven!

En dat WhatsApp nu niet in de store staat (door wie dan ook) is toch vrij duidelijk... Het product 'WhatsApp' blijkt een lek te hebben, dat was zogenaamd gedicht, maar achteraf bleek dat niet zo te zijn. Dan lijkt het me logisch dat aanbieders niet aangeklaagd willen worden wegens dit probleem, en dat ze het tijdelijk niet aanbieden. Niet vergeten dat alle partijen uit Amerika komen he!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True