'Database WhatsApp op Android kan eenvoudig worden gestolen'

Andere Android-apps kunnen de berichtendatabase van WhatsApp zonder al te veel moeite buitmaken. De gebruikte encryptie kan daarbij eenvoudig worden gekraakt. Dat stelt een Nederlandse systeembeheerder, die een proof-of-concept heeft gemaakt.

Om de berichtendatabase van een WhatsApp-gebruiker buit te maken, is het voldoende om hem een applicatie te laten installeren die zowel bij de sd-kaart kan als op internet mag, schrijft sysadmin Bas Bosschert op zijn eigen website. "Omdat de meeste mensen alles toestaan op hun Android-apparaat, is dat niet echt een probleem", aldus Bosschert.

De WhatsApp-database wordt opgeslagen in een subfolder van de sd-kaart, schrijft Bosschert. Daardoor kan elke applicatie die bij de sd-kaart mag bij de database. Android-apparaten zonder sd-kaart-slot hebben overigens een geëmuleerde partitie op het flashgeheugen die zich voordoet als sd-kaart. Het uploaden van de database is vervolgens een koud kunstje.

Sinds enige tijd versleutelt WhatsApp de databases, maar daarvoor wordt op elke telefoon dezelfde sleutel gebruikt, waardoor de databases met een simpel scriptje te decrypten zijn. "Facebook had WhatsApp niet hoeven kopen om je WhatsApp-berichten te lezen", sneert Bosschert.

Overigens moet een gebruiker de malafide applicatie wel nog installeren, en de kans is groot dat het kwaadaardige gedrag wordt opgemerkt in de Play Store. Een kwaadwillende zou de code om WhatsApp-gesprekken te stelen echter bijvoorbeeld kunnen combineren met een applicatie als Flappy Bird, een populair spel dat uit de Play Store is gehaald, inclusief instructies om het sideloaden van apps mogelijk te maken, schrijft Bosschert.

IT-banen

Reacties (177)

Freekers 12 maart 2014 09:26

Als het 'slachtoffer' USB Debugging op z'n toestel heeft ingeschakeld, heb je slechts een laptop met adb geinstalleerd, een micro usb kabel en 10 seconden fysieke toegang tot het toestel nodig:

Plug het toestel in op je laptop, wacht even (2-3 seconden) totdat je PC het toestel herkend en run dit commando vanuit een commandprompt

adb pull /sdcard/WhatsApp/Databases/msgstore.db.crypt C:\

De database wordt dan gekopieerd naar je PC en opgeslagen C:\ schijf. Het ontsleutelen van de database kan heel makkelijk met: http://forum.xda-developers.com/showthread.php?t=1583021
Dit werkt zelfs als het toestel vergendeld is met patroon of code(!)

MiesvanderLippe @Freekers • 12 maart 2014 12:15

Als je de DEVELOPER optie voor USB debugging aan heb staan is dat je eigen fout/probleem.

Los daarvan, moderne Android versies vereisen een soort pairen om de host pc toegang te verlenen dus is het dan niet zomaar mogelijk om een beveiligd toetstel leeg te trekken

Anoniem: 572916 @Freekers • 12 maart 2014 09:43

Zo blijkt, alweer, dat google android heel goed is in het vergaren en delen van je informatie, maar je nauwelijks beschermt

Sorcerer8472 @Anoniem: 572916 • 12 maart 2014 10:23

Ik heb de developer-optie "usb-debugging" niet aan staan.

Luke_msx @Anoniem: 572916 • 13 maart 2014 10:55

Logisch natuurlijk, gezien de grote kracht achter Android een bedrijf is dat zijn bestaansrecht ontleent aan het verzamelen van je informatie.

Anoniem: 572916 @Luke_msx • 13 maart 2014 13:00

Maar waarom dan de poorten op je eigen platform zo open zetten voor concurrentie?

Salmon @Freekers • 12 maart 2014 09:55

Precies dit, heb dit al zowat een jaar terug voorbij zien komen op de XDA community. Het is echt peanuts om de databse te decrypten en alles uit te lezen.

Dat hier nog steeds niks aangedaan is is voor mij een raadself.

Anoniem: 474132 12 maart 2014 08:50

Ik zou wel eens willen weten waarom dit *alleen* op Android een probleem is, zou een verrijking van het artikel zijn als dat uit de doeken gedaan werd.

Justhim @Anoniem: 474132 • 12 maart 2014 08:58

Bij Android kun je gebruik maken van een SD-kaart. Of dit nu een fysieke kaart is of dat deze wordt gesimuleerd, de rechten op deze sd-kaart is voor elke app hetzelfde. Dus alle apps kunnen bij alle data op de sd-kaart.
Android heeft ook per app een eigen sandbox storage, maar die is standaard altijd op de telefoon zelf, en gebruikers met weinig ruimte kunnen dan al snel problemen krijgen. Daarom kiezen veel apps ervoor om data op te slaan op de sd-kaart.

Dit 'nieuws' is absoluut niet nieuw, maar al heel lang bekend. En verscheidene apps maken er ook gebruik van, zover we weten nog geen misbruik.
Naar mijn weten worden alleen de dagelijkse backups opgeslagen op de sd-kaart en de actuele database (sqlite) draait in de sandbox. Dit was enkele maanden geleden namelijk zo (zelf ook mee zitten spelen)

Op iOS draait elke app in een sandbox en alleen in deze sandbox kunnen gegevens worden opgeslagen, dus niet op een sd-kaart of iets dergelijks. Elke sandbox heeft eigen rechten, dus deze kunnen niet bij elkaars data.

[Reactie gewijzigd door Justhim op 23 juli 2024 02:18]

ronaldmathies @Anoniem: 474132 • 12 maart 2014 08:55

Omdat Android een zwakkere sanbox heeft waarin de apps draaien. Een sandbox zorgt ervoor dat een app als het ware in een gesloten inrichting zit en afgesloten is van de buitenwereld ( andere apps, het geheugen wat door andere apps in gebruik is etc... )

Richh

12 maart 2014 08:32

Ik gebruik al tijden WhatStat, een app die je WhatsApp gebruik in grafieken kan zetten. Die app kan er dus ook bij en zou dus heel simpel alles kunnen delen. Voor mij niks nieuws...

ronaldmathies @Richh • 12 maart 2014 08:39

Het probleem is naar mijn idee niet alleen Whatsapp maar ook Android die een minder strikte sandboxing toepast. Het zou gewoon niet mogelijk moeten zijn dat app a bij de data van app b kan.

kiang

@ronaldmathies • 12 maart 2014 10:19

In Android kun je je data op 2 manieren opslaan:

beveiligd, en dan komt de data geëncrypteerd in de app data folder en kan alleen jouw app eraan. Dit is het sandboxing gedeelte.
onbeveiligd, en dan is het gewoon een bestand op de SD kaart

Whatsapp kiest voor de laatste optie, om de een of andere reden.

Ter vergelijking: Windows heeft enkel de laatste optie, en ik hoor niemand hier klagen dat Windows een onveilig systeem is, maar goed...

Ik zeg dus dat de fout bij Whatsapp ligt, 100%. Ze kiezen er namelijk voor om gesprekken open en bloot op te slaan, ipv de beschikbare APIs voor veilige opslag te gebruiken.

Android moet dus helemaal niets aanpassen. Er is namelijk geen reden om de hele SD kaart functionaliteit dicht te metsen: die is er net om data delen makkelijk mogelijk te maken: zoals je foto's (zoals die die je ontvangt van whatsapp, of bewerkte foto's van een foto editor app) of andere documenten (zoals downloads). Dat zijn bestanden waarvan je net wil dat ze zonder moeilijkheden openbaar beschikbaar zijn.

[Reactie gewijzigd door kiang op 23 juli 2024 02:18]

3x3 @kiang • 12 maart 2014 10:53

Hoe kies je als gebruiker om je data encrypted op te slaan? Ik heb die functie niet gevonden in mn nexus.

[Reactie gewijzigd door 3x3 op 23 juli 2024 02:18]

majoh @3x3 • 12 maart 2014 14:19

Instellingen -> Beveiliging -> Telefoon versleutelen

kiang

@3x3 • 12 maart 2014 14:50

De developer doet dat. Het is simpel gezegd het Android OS die een database aanbiedt om data in op te slaan, waarin apps enkel toegang krijgen tot hun eigen data. Daarnaast kunnen apps ok gewoon data opslaan die door iedereen leesbaar is, zoals desktop applicaties dat al jaren doen (bvb games die hun savegames in mijn documenten opslaan).

Telefoon versleutelen, zoals iemand anders hier zei, helpt enkel tegen externe indringers, niet tegen apps die de SD kaart proberen te lezen.

WhatsappHack

Netwerk en systeembeheer
Websites en community's
Privacy

@kiang • 12 maart 2014 12:46

Zou WhatsApp daar toevallig niet voor kiezen voor het opslaan van die backups omdat die data nog beschikbaar moet zijn na een factory reset?

Het is maar een ideetje natuurlijk he want goh... Die backups zijn natuurlijk voor de lol opgeslagen op de SD kaart ipv de data folder.

Je hebt niets aan backups als ze weg zijn na een reset...

Je kan de live data van WhatsApp ook niet jatten, enkel die backups zijn te jatten; en dat komt omdat die wel op de SD kaart opgeslagen MOETEN worden ivm factory reset. De rest van de data is dus wel beveiligd. Het probleem ligt dus wel degelijk in Android die geen juiste beveiligingen toepast.

Maar eerlijk is eerlijk, WhatsApp kan hier wel een verbetering in aanbrengen just to shut people up, want klagen bij Google doet toch niemand...
Ik heb ze net maar een voorstel gesteurd met een wijziging aan de encryptie methode. Ben benieuwd wat ze ermee gaan doen.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 02:18]

kiang

@WhatsappHack • 12 maart 2014 14:53

De backup moet dan ook gewoon degelijk worden geencrypteerd. En dat doet WhatsApp niet.

Het is niet Android zijn taak om publiek beschikbare data te beveiligen. Ze bieden encryptie-APIs, dus het zelf doen is helemaal niet moeilijk voor een dev.

Wederom: ik snap de kritiek op Android niet. Ik heb nog geen enkel rationeel argument gehoord dat erop wijst dat dit de fout is van Android.

robin1301 @kiang • 12 maart 2014 15:30

Even wat rechtzetten:
- Windows is niet hetzelfde als Windows Phone
- Windows Phone is ook niet onveilig, omdat het behoorlijk dichtgetimmerd zit. Applicaties draaien in sandbox!
- De meeste Nokia's hebben geen SD-kaart. Bovendien is het niet mogelijk om apps op SD-kaart op te slaan! (wellicht in WP8.1, maar nu nog niet).

kiang

@robin1301 • 12 maart 2014 17:14

Heb ik het dan over WIndows Phone gehad?

Ik heb eht wel degelijk over Windows, het desktop systeem.

triflip @ronaldmathies • 12 maart 2014 08:49

Uit het bericht lijkt idd alsof whatsapp de schuld krijgt. Maar de grootste schuld ligt echt bij Android zelf.

Ik let dan ook altijd goed op welke rechten een app vraagt, zo installeer ik geen vage apps. Maar ook apps die met een goede reden toegang vragen tot bijv. de sdkaart kunnen nog foute dingen ermee doen. Dus echt safe ben je helaas niet.

Richh

@triflip • 12 maart 2014 09:30

Ben ik niet met je eens. Ik wil niet dat mijn OS deze belemmeringen oplegt, want met elke belemmering sluit je ook een paar mogelijkheden af. Een app als WhatStat zou niet mogelijk zijn met die restrictie.

De verantwoordelijkheid ligt naar mijn mening bij de app-bouwer (die overigens prima de mogelijkheid heeft om deze data af te sluiten, maar dit niet heeft gedaan) en op de tweede plaats bij de gebruiker (die misschien wel deze optie moet kunnen krijgen vanuit het OS).

Migrator @Richh • 12 maart 2014 10:20

Maar wat nou als men in de permissies onderscheid ging maken in 'toegang tot sd-kaart: eigen data' en 'toegang tot sd-kaart: alle data'? (toegegeven, die laatste klinkt gek, wie weet een betere naam?) De meeste apps zouden genoeg moeten hebben aan de eerste permissie, en een app als WhatStat zou dan de tweede permissie moeten hebben.
Bij het lezen van data van andere apps verschijnt dan per app een popup¹ met de melding/vraag 'WhatStat wil toegang tot de gegevens van Whatsapp' die vervolgens al dan niet geaccepteerd kan worden.
Als een app misbruik probeert te maken van de permissies dan blijkt dat dan uit het feit dat er heel veel vragen om permissies komen².

Ik denk dat dit een relatief gebruiksvriendelijke manier is van permissies wat betreft de sd-kaart. Het moet natuurlijk wel door het OS geregeld worden. Fool-proof is het natuurlijk niet, want er zullen altijd mensen zijn die voor alles 'OK' klikken, helaas.

1 - of melding, of wellicht een lijst met de data waartoe men toegang wil?
2 - natuurlijk niet super gebruiksvriendelijk, maar is er een app die oprecht bij de data van alle andere apps moet kunnen?

edit: kumquat hierboven vat 't goed samen

[Reactie gewijzigd door Migrator op 23 juli 2024 02:18]

Anoniem: 204567 @Richh • 12 maart 2014 10:11

Ben ik niet met je eens. Ik wil niet dat mijn OS deze belemmeringen oplegt, want met elke belemmering sluit je ook een paar mogelijkheden af. Een app als WhatStat zou niet mogelijk zijn met die restrictie.

Wel als een app by default alleen bij zijn eigen dir kan, en toestemming moet vragen om bij andere apps te komen.

WhatStat mag wel bij mijn WhatsApp data, maar Flappy Bird en Facebook niet (nou ja, die laatste maakt inmiddels niet meer uit want zij hebben je data toch al, maar je snapt me).

Rafe @triflip • 12 maart 2014 09:49

WhatsApp kiest er zelf voor om het zo te programmeren dat data op de SD-kaart wordt opgeslagen, terwijl bekend is dat daar pre-Android 4.4 geen vorm van sandboxing wordt gedaan. Pas vanaf Android 4.4 gebeurt dat wel voor schrijven, maar kan elke app nog wel alles lezen: nieuws: 'Samsung laat Android-apps niet langer data sd-kaart aanpassen'

Richh

@ronaldmathies • 12 maart 2014 08:51

Dat ben ik niet met je eens. WhatStat is een mooi voorbeeld van een voordeel dat meerdere apps bij dezelfde data kunnen. Ik vind dat je als developer de optie moet krijgen om de data af te sluiten en/of te versleutelen - iets wat prima mogelijk is binnen Android (en natuurlijk ieder ander OS die dezelfde sandboxing toepast).

Het is natuurlijk wel discutabel of Whatsapp dit door moet voeren of niet.

itsyaboy @Richh • 12 maart 2014 08:44

Het is voor jou misschien niks nieuws, maar is het voor jou wel acceptabel dat dit kan en mogelijk zelfs al gebeurt?

Ik denk dat dit weer een motivator is om Whatsapp te de-installeren.. ik ben bezig een lijstje cons te verzamelen die hopelijk de sociale druk kan doen vergeten..

Richh

@itsyaboy • 12 maart 2014 08:53

Ja, ik heb er geen problemen mee. Vanuit beginsel moet je geen gevoelige data sturen over wegen die je niet zelf beheerd. Ik geloof er ook totaal niet in dat alternatieven echt veiliger zijn.

itsyaboy @Richh • 12 maart 2014 08:56

Oke dat klinkt inderdaad als een goede manier om er mee om te gaan. Lijkt mij wel lastig om via een eenvoudige communicatiemethode geen gevoelige data te versturen (al zullen mensen een eigen definitie over gevoelige data hebben). Daarnaast kan de ander wel weer gevoelige data over jou versturen.. dus hopen dat de ander ook zo tactvol is als jij?

Richh

@itsyaboy • 12 maart 2014 09:33

Ik denk inderdaad dat iedereen zijn eigen definitie daarvoor heeft

Als de persoon met wie ik communiceer graag een andere app gebruikt, sta ik er open voor om die app ook te gebruiken. Telegram, Hangouts, BBM en FB Messenger staan hier ook allemaal geïnstalleerd, al geloof ik er niks van dat die apps echt veiliger zijn.

Echter vind ik WhatsApp gewoon erg fijn en snel, en vrijwel iedereen heeft het (wat jij omschrijft als 'sociale druk'

) - mijn voorkeur ligt bij WhatsApp.

Just Me Or Tha One 12 maart 2014 08:39

dit is eentje in de categorie: Database 'willekeurig-programma' kan makkelijk gestolen worden door 'willekeurig-programma-met-lees/admin-rechten' op elk operating system

ronaldmathies @Just Me Or Tha One • 12 maart 2014 08:45

Op de volgende OS'en is dit niet mogelijk:

Windows Phone
iOS
OSX wanneer de app uit de app store komt.

Windows weet ik niet hoe het zit als het uit de store komt, draait deze dan ook in een sanbox?

Zyppora @ronaldmathies • 12 maart 2014 08:54

Het is op zijn minst naief om te denken dat het niet mogelijk is op welk willekeurig OS dan ook. Dat het nu bewezen mogelijk is op Android doet niets af aan het feit dat het ook op een iOS of WP of eender welk desktop OS kan gebeuren. De zwakste schakel nog steeds gebruiker die toestemming geeft.

Technisch gezien is het enige opmerkelijke aan bovenstaand artikel dat de voor de encryptie gebruikte sleutel voor alle databases hetzelfde is, wat een fout aan de zijde van Whatsapp is, en niet aan die van Android.

ronaldmathies @Zyppora • 12 maart 2014 08:57

Op andere os'en is het niet mogelijk om toestemming te kunnen geven om dit toe te staan, al zou je het willen dan kan het niet. Dat is het idee achter een sandbox. Zie het als elke app die in een eigen vmware server draait die kunnen ook niet bij elkaar.

OkselFris @Zyppora • 12 maart 2014 18:11

Je zou gelijk hebben als het OS jou de keuze geeft. Van Windows phone weet ik het niet, maar bij IOS is het simpelweg bij design niet mogelijk. Een App kan alleen bij zijn eigen bestanden een ander App niet. Daar kan een gebruiker niks aan veranderen.
Enige mogelijkheid is via de officiële API's en die zijn behoorlijk afgeschermd.
Op filesystem niveau kunnen Apps geen data delen.

halofreak1990 @ronaldmathies • 12 maart 2014 09:25

Windows weet ik niet hoe het zit als het uit de store komt, draait deze dan ook in een sanbox?

Ja, Windows Store apps draaien ook in een sandbox.

FreshMaker @ronaldmathies • 12 maart 2014 08:51

Ja je hebt gelijk, maar ik loop tegen het volgende probleem aan, en zelfs XDA kan me niet helpen.

Mijn 600€ Galaxy S4 wil geen IOS of OSX installeren ....

wat nu ?

FreshMaker @90710 • 12 maart 2014 09:02

Ja, de S5 zou beter zijn ....
Volgende maand kan ik je meer vertellen

Anoniem: 118226 @Just Me Or Tha One • 12 maart 2014 08:50

Alleen op elk willekeurig OS kan ik makkelijk de directory waarin de database staat beveiligen en heeft elk willekeurig ander programma gewoon de rechten niet. Bij Android heb je die opties niet om het af te schermen. Het filesysteem zit niet in de sandbox die Android gebruikt. Slechte zaak.

Anoniem: 453918 12 maart 2014 09:53

Dit soort onderzoeken vind ik altijd klinken als:

In elk woonhuis in Nederland kan kinderlijk eenvoudig worden ingebroken!

Een beveiligingsdeskundige van Inkoppertje BV. heeft ontdekt dat als de bewoner zijn deuren open laat staan en al zijn kostbare spullen op de eettafel legt en een bord op straat zet dat hij een paar dagen weg is het heel eenvoudig is om bij die persoon in te breken.

3x3 @Anoniem: 453918 • 12 maart 2014 10:45

Dan weet je in ieder geval dat bij dit type huis,(android icm whatsapp) de deuren standaard wagenwijd open staan.

Op een iphone, zal je dit minder snel overkomen. Omdat dat ios simpelweg veiliger is, doordat elke app draait in een sandbox, en alleen bij zijn eigen data-mapje kan.

Op een blackberry10, zal je dit ook mindersnel overkomen, doordat ook dat systeem werkt met sandboxen. Maar ook doordat bovendien BBos10 je data encrypt, of telefoon en sd.

Privacy en veiligheid is een keuze.

[Reactie gewijzigd door 3x3 op 23 juli 2024 02:18]

DennusB @3x3 • 12 maart 2014 11:52

Op iOS kan je ook gewoon files van het filesystem afhalen via USB. Die kan je vervolgens met genoemd XDA tooltje ook gewoon decrypten. Net zo onveilig dus.

3x3 @DennusB • 12 maart 2014 11:55

Na het ontgrendelen en koppelen van je apparaat.

SidewalkSuper @DennusB • 12 maart 2014 13:44

Onzin, je kan alleen foto's eraf halen met een niet gejailbreakt iDevice.
Een Whatsapp database kan je nooit van zn leven bij zonder te jailbreaken.

DennusB @SidewalkSuper • 12 maart 2014 14:23

Wel. 3rd party app!

SidewalkSuper @DennusB • 12 maart 2014 15:25

Zoals ik al zei, onzin. Laat maar zien welke app het kan.

iFunbox en iPhonebrowser en zulke apps kunnen alleen maar ergens bij als je gejailbreakt hebt. Anders kunnen ze alleen bij enkele standaard dingen. Dat zijn foto's, iBooks boeken, voice memo's of open mapjes van apps als VLC, waar je video's in de VLC map kan zetten om ze vanuit VLC te kunnen gebruiken.

DennusB @SidewalkSuper • 12 maart 2014 15:33

Zal straks even die app zoeken. Daarnaast, als iemand een back-up in iTunes maakt kan je daar ook alle files uithalen (inclusief Whatsapp DB). Ook zonder JB

Dus zo veilig is t allemaal niet.

SidewalkSuper @DennusB • 12 maart 2014 15:55

Ik ben benieuwd naar de app

Backups zijn encrypted met een wachtwoord als je dat wil, maar dan moet je wel backups maken op je computer. Denk dat de meeste mensen hun iDevices alleen nog in de cloud hebben gebackupt, dat is ook allemaal encrypted natuurlijk.

Nogmaals, zonder jailbreak kom je nergens bij als de gebruiker dat niet wil.

[Reactie gewijzigd door SidewalkSuper op 23 juli 2024 02:18]

OkselFris @DennusB • 12 maart 2014 18:33

We wachten met spanning op je oplossing. Alle data op een IOS device is altijd encrypted en ook je iTunes back-up is encrypted.

Je kan via iTunes bepaalde bestanden van een device halen, maar dan moet de App dat ondersteunden en kan het alleen via de officiele manier. Een andere manier is niet mogelijk zonder een jailbreak.
Gaat dan vaak om specifieke document management Apps etc.
En dan nog kan een andere App niet bij de data

paulbenard 12 maart 2014 09:44

Dit is al geblokkeerd door Samsung. Doormiddel van Apps alleen maar rechten te geven tot hun eigen directory's. Cyanogenmod heeft hier ook al een fix voor. Zal me niets verbazen als dit bij de volgende android upgrade standaard geintegreerd is en dan kan het al niet meer.

ronaldmathies @paulbenard • 12 maart 2014 10:10

Nee want dat gaat alleen om schrijf rechten, lees rechten blijft even open als voorheen.

martin_v_z @ronaldmathies • 12 maart 2014 12:46

Daarbij, de app map op de externe opslag wordt ook verwijderd bij het verwijderen van de app. Dit is nu net iets dat je niet wil met backups. Dit is in mijn ogen dan ook een tekortkoming van het huidige Android bestand systeem. Er zou een aparte backup map moeten zijn op de externe geheugen partitie waar applicaties een backup kunnen opslaan welke niet wordt verwijderd bij het verwijderen van een app. Het OS zou dan toegang tot backups van andere apps kunnen voorkomen en de gebruiker kan gemakkelijk zijn backupmap kopieren naar bijvoorbeeld zijn PC.

Om nog een opmerking te plaatsen over eventuele encryptie van backups. Apps die worden gepubliceerd via Google Play moeten voldoen aan de Amerikaanse export eisen, nu bevatten die een stuk over encryptie. Software mag geen zware encryptie gebruiken voor data, alleen als het gaat om wachtwoord verificatie mag dit. Zo uit mijn hoofd is de maximale toestaande encryptie rond de 7 bytes. Je kan wel toestemming vragen maar dat zal vooral voor kleine buitenlandse ontwikkelaars een lastig proces zijn. (Als ik het hier fout heb hoor ik het graag, dit is wat ik heb begrepen na het lezen van de exportregels.)

[Reactie gewijzigd door martin_v_z op 23 juli 2024 02:18]

Jazco2nd 12 maart 2014 08:43

Idd, deze IT'er met wel 10jr ervaring (zoals op Nu.nl staat) wilde ff de popiejopie uithangen. Al je gegevens kunnen gewoon uitgelezen worden, als het niet door een simpel scriptje kan dan wel door een ingewikkeld NSA scriptje. BBM is ook niet helemaal dicht, Israël, India en nog paar overheden hebben bijv gewoon toegang gekregen. Dat gezeur over beveiliging van je apjes. Alsof SMS beveiligd is. Nope, nooit geweest.

Bor Coördinator Frontpage Admins / FP Powermod @Jazco2nd • 12 maart 2014 08:48

Wanneer er een deftige encryptie werd toegepast was het risico veel minder groot dan nu natuurlijk (iedereen gebruikt dezelfde key). Het decrypten van een whatsapp database is kinderlijk eenvoudig. Je vind hiervoor meerdere tools wanneer je googled.

Een malafide app hoeft nu alleen maar de database (backup) te uploaden en het uitlezen is kinderspel.

Het gaat er niet alleen om dat iets altijd met voldoende inzet en rekenkracht mogelijk is maar dat het hier wel heel erg makkelijk is. Nu dit "nieuws" bekend is kun je wachten op de eerste apps die hier misbruik van maken (als die er al niet zijn).

eborn @Bor • 12 maart 2014 08:53

Encryptie in de client heeft weinig zin als je de gebruiker niet steeds om een login vraagt. En zelfs dat is met een goede keylogger te omzeilen. Of je moet de persoonlijke sleutel in een stukje stukje privé ruimte van de app zetten.

FreshMaker @Jazco2nd • 12 maart 2014 08:53

Zijn site is ook wel interessant, daar niet van, maar het is nu meer "meeliften" op populaire berichten, omdat hij iets heeft ontdekt.

Goed, maar het heeft niet perse met Whatsapp te maken ... zo'n malafide app kan ALLES uploaden, van foto's tot notities, tot aan appdata van andere apps.

Maar WA is de gebeten hond, dus vogelvrij

Anoniem: 120693 @Jazco2nd • 12 maart 2014 09:05

Dat gezeur over beveiliging van je apjes. Alsof SMS beveiligd is. Nope, nooit geweest.

Dus dat er een encryptie word gebruikt die hetzelfde is op alle toestellen moeten we maar lachend accepteren? Als je het overigens gezeur vindt, wat maakt dan dat je er toch op wil reageren?

Atomsk 12 maart 2014 12:27

Had een tijdje terug een Android leentoestel omdat m'n eigen toestel in de reparatie was. Installeer ik er whatsapp op, vraagt whatsapp of ik de backup van conversaties wil herstellen. Ik

en klik op ok: krijg ik allemaal gesprekken te zien van de vorige gebruiker van het leentoestel.

WhatsappHack

Netwerk en systeembeheer
Websites en community's
Privacy

@Atomsk • 12 maart 2014 12:42

WhatsApp herstelt de berichten voor zover ik weet niet als het telefoonnummer niet overeen komt met de backup... Klinkt dus als onzin.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 02:18]

H92! @WhatsappHack • 12 maart 2014 12:56

Jawel, ik heb zelf laatst van nummer gewisseld en kon gewoon de database van mijn ander nummer importeren. Dit verastte mij ook.

WhatsappHack

Netwerk en systeembeheer
Websites en community's
Privacy

@H92! • 12 maart 2014 13:02

Ik heb het net geprobeerd maar het komt leeg terug, als ik inlog met normale nummer DEED ie het wel. Nu herstelt ie helaas niets meer. (Maar gelukkig was dit mn test toestel

) Was dat ook op Android?

MelvinV2 @WhatsappHack • 12 maart 2014 13:33

ik kan dit bevestigen, whatsapp hersteld te berichten en alle nummers van de contacten van de vorige gebruiker staan vrij.

Sorcerer8472 12 maart 2014 08:53

Tja, alles wat hier staat is natuurlijk ook van toepassing op bijvoorbeeld Mozilla Thunderbird op Windows. Die slaat onversleuteld z'n mail op. Een andere applicatie kan daar zo bij en kan hem zo via internet versturen, aangezien op Windows standaard elke applicatie bij bestanden/internet mag, zonder dat je op Accept hoeft te klikken...

Natuurlijk is het heel belangrijk om je bewust te zijn van dit soort dingen, maar de vraag is hoeveel erger dit nou is dan een gewoon virus op een computer. Zat mensen die in hun mail interessantere dingen hebben staan dan in Whatsapp. Vraag me dan ook af hoe goed mailclients op telefoons beveiligd zijn qua opslag. Gokje: geen encryptie

Anoniem: 204567 @Sorcerer8472 • 12 maart 2014 10:03

Een andere applicatie kan daar zo bij en kan hem zo via internet versturen, aangezien op Windows standaard elke applicatie bij bestanden/internet mag

Op Windows heb je dan nog de mogelijkheid om een firewall te installeren. Sowieso een aanrader, met al die programma's die onnodig aan phone home doen.

[Reactie gewijzigd door Anoniem: 204567 op 23 juli 2024 02:18]

Anoniem: 169091 12 maart 2014 09:15

Is dit nu echt nieuw? Bij een standaard desktop PC kan iedere willekeurige applicatie ook de home/users directory plunderen.

Overigens valt dit vast wel af te schermen, door als OS per directory die een app benaderd nog eens expliciet toestemming te vragen.

Op dit item kan niet meer gereageerd worden.

'Database WhatsApp op Android kan eenvoudig worden gestolen'

Lees meer

IT-banen

Reacties (177)

Sorteer op:

Weergave: