image

Nederlandse student kraakt encryptie WhatsApp

dinsdag 8 oktober 2013, 10:18 door Redactie, 12 reacties

Gebruikers van de zeer populaire berichtenapp WhatsApp moeten ervan uitgaan dat vanwege gebreken in de encryptie al hun berichten zijn gecompromitteerd, zo waarschuwt de Nederlandse informaticastudent Thijs Alkemade. Alkemade is tevens de hoofdontwikkelaar van het chatprogramma Adium.

In het verleden zijn er al vaker problemen met de beveiliging van WhatsApp aangetoond en die zijn volgens Alkemade nog niet voorbij. Hij analyseerde de gebruikte encryptie en kwam verschillende problemen tegen. De eerste fout die WhatsApp maakt is dat het dezelfde encryptiesleutel voor beide richtingen gebruikt. Hierdoor is het mogelijk om de inhoud van berichten te achterhalen.

Het tweede probleem is dat WhatsApp dezelfde HMAC-sleutel gebruikt. Keyed-hash message authentication code (HMAC) wordt gebruikt voor het authenticeren van berichten, om zo manipulatie door een aanvaller te voorkomen. De implementatie laat echter te wensen over. Zo wordt er geen teller gebruikt en wordt de sleutel hergebruikt die eerder voor de RC4-encryptie is gebruikt. De informaticastudent weet echter niet of een aanvaller dit laatste probleem kan misbruiken.

Afluisteren

Volgens Alkemade is het wel mogelijk dat iemand die de WhatsApp-verbinding van de gebruiker kan afluisteren met voldoende moeite ook alle berichten kan ontsleutelen. "Je moet dan ook al je eerdere WhatsApp-gesprekken als gecompromitteerd beschouwen", zo waarschuwt de informaticastudent.

Totdat WhatsApp met een update komt is er weinig dat gebruikers hier tegen kunnen doen. Als bewijs ontwikkelde Alkemade een proof-of-concept Pythonscript dat berichten naar WhatsApp kan onderscheppen en ze vervolgens probeert te ontsleutelen.

Image

Reacties (12)
08-10-2013, 11:07 door Rstandard
Als het so door gaat, kan het straks nog zijn dat we BlackBerry Messenger gaan gebruiken want die zijn toch al bezig hun service aan het openen voor android/iphone/e.d
08-10-2013, 11:11 door hx0r3z - Bijgewerkt: 08-10-2013, 11:12
Is gewoon extra gedaan zodat de aivd en nsa en andere diensten dit gewoon nog kunnen tappen.
Dit is gewoon een encryption backdoor ..
08-10-2013, 11:28 door Anoniem
Voor de geinteresseerden, zijn blog:
https://blog.thijsalkema.de/blog/2013/10/08/piercing-through-whatsapp-s-encryption/
08-10-2013, 13:08 door Anoniem
Dit verbaasd mij dus niets... WhatsApp heeft namelijk een lange geschiedenis met security-problemen. In het verleden stuurde WhatsApp messenger bijvoorbeeld al je telefoon contacten onversleuteld naar de server van WhatsApp. (Naam, telefoonnummer, etc.) Zonder SSL of andere beveiliging of zelfs een waarschuwing. Dit scheelt een beetje server resources ten koste van de privacy van alle WhatsApp gebruikers en hun contactpersonen. Na aandacht in de media heeft WhatsApp dit indertijd 'gerepareerd' maar het is duidelijk dat ze vanaf het begin al geen grote prioriteit gaven aan de beveiliging.

Dat deze 'nieuwe' fouten nu weer naar boven komen was dus eigenlijk wel te verwachten en is waarschijnlijk niet met opzet gedaan maar eerder veroorzaakt door slordig programmeren. Bovendien is de organisatie achter deze App een beetje schimmig. Die sympathieke media geek Alexander Klöpping is er voor de Vara een keertje langs geweest http://dewerelddraaitdoor.vara.nl/Alexander-Kloepping.3006.0.html en geeft ook zelf al aan dat het een beetje een vreemd bedrijf is in een non-descript kantoortje.

Een ander, meer onderliggend probleem naar mijn mening is dat de meeste messenger systemen waaronder WhatsApp geen P2P netwerken zijn. Communicatie in het echte leven gaat ook niet via een 3e partij en dit is precies het grote gevaar van het internet op dit moment. Bijna alle informatie op het web komt uit een zeer beperkt aantal systemen. (Google, Facebook,. WhatsApp, etc.) Om controle te krijgen over ALLE informatie volstaat het om een beperkt aantal systemen af te tappen. Dit is onnatuurlijk en onwenselijk naar mijn mening. Om mijn standpunt wat te verduidelijken maak ik even de vergelijking met het 'echte leven':

Persoon A en B bevinden zich in dezelfde ruimte.
Persoon A verteld iets tegen persoon B. Niemand behalve persoon A en B ontvangen dit bericht. Het is tenslotte een bericht van persoon A naar B. We vinden dit vanzelfsprekend en dit is hoe 'het echte leven' werkt.

Stel je nu de volgende situatie voor:
Persoon A heeft een bericht voor persoon B maar de enige manier voor persoon A en B om met elkaar te communiceren is via persoon C. Dit is de huidige situatie. In het echte leven zouden we dit niet accepteren en waarom wel op internet? Als persoon C bovendien een of ander schimmig buitenlands bedrijf is, zou je dan nog steeds je bericht voor persoon B achterlaten bij persoon C? Waarschijnlijk niet maar op het internet doen we dit momenteel massaal.

Natuurlijk is met encryptie afluisteren te voorkomen maar meestal is deze encryptie gebaseerd op het beveiligen van de berichten onderweg (via SSL) tegen afluisteren door bijvoorbeeld persoon D, E en F die zich in dezelfde ruimte (op hetzelfde netwerk) bevinden. Deze beveiligingsmaatregelen helpen dus niets tegen afluisteren door persoon C zelf. Dit is iets waar de meeste gebruikers vaak niet bij stil staan. De enige echte oplossing op lange termijn is daarom ook de decentralisatie van deze messenger systemen.

Martijn Wismeijer
http://m.rtijn.info
08-10-2013, 13:33 door scrippie
kan het straks nog zijn dat we BlackBerry Messenger gaan gebruiken want die zijn toch al bezig hun service aan het openen voor android/iphone/e.d

BlackBerry loopt ook op zijn eind, die hebben bedrijven al geadviseerd naar een andere dienst uit te kijken.

Er is een nieuwe app: SafeSlinger van Carnegie Mellon CyLab. Ik heb het nog niet getest maar is wel gratis voor Android en IOS.
08-10-2013, 14:28 door Anoniem
Door Anoniem:Een ander, meer onderliggend probleem naar mijn mening is dat de meeste messenger systemen waaronder WhatsApp geen P2P netwerken zijn. Communicatie in het echte leven gaat ook niet via een 3e partij en dit is precies het grote gevaar van het internet op dit moment.

Behalve gesprekken tussen 2 personen, die fysiek in 1 ruimte zitten, gaat eigenlijk alle communicatie via een 3e partij, ook je telefonie gesprekken gaan via een provider. Dus wanneer je iets te melden hebt, dat echt geheim moet blijven, moet je dat met offline encryptie beveiligen. En dan ook een geheel eigen en moeilijke methode, want anders kan je software nog een backdoor bevatten......
08-10-2013, 18:19 door johanw
Eigen encryptiealgoritmes bedenken is voor de meeste mensen een recept voor rampen. Bekende encryptiesoftware gebruiken die open source is is meestal wel voldoende. En ook dat soort software gebruikt langdurig geteste standaardalgoritmes.
08-10-2013, 18:43 door [Account Verwijderd] - Bijgewerkt: 08-10-2013, 18:46
[Verwijderd]
09-10-2013, 07:35 door Overcome
Door Anoniem:
Door Anoniem:Een ander, meer onderliggend probleem naar mijn mening is dat de meeste messenger systemen waaronder WhatsApp geen P2P netwerken zijn. Communicatie in het echte leven gaat ook niet via een 3e partij en dit is precies het grote gevaar van het internet op dit moment.

Behalve gesprekken tussen 2 personen, die fysiek in 1 ruimte zitten, gaat eigenlijk alle communicatie via een 3e partij, ook je telefonie gesprekken gaan via een provider. Dus wanneer je iets te melden hebt, dat echt geheim moet blijven, moet je dat met offline encryptie beveiligen. En dan ook een geheel eigen en moeilijke methode, want anders kan je software nog een backdoor bevatten......

Sorry, maar je eigen encryptiealgoritmen verzinnen is het slechtste wat je kunt doen, simpelweg doordat 99.9999% van de Nederlandse bevolking hier geen verstand van heeft en niet bekwaam is in de wiskundige aspecten die erachter liggen. Ook de vereiste peer review blijft in dat geval achterwege. Daarnaast, je bent per definitie niet slim genoeg om je eigen algoritmen te breken. Lukt je dat wel, dan had je wel een ander algoritme gekozen.
09-10-2013, 08:12 door security matters
Tijd om over te stappen op LINE van onze Japanse vrienden http://line.naver.jp/en/ die hebben het vast goed voor elkaar...
09-10-2013, 16:46 door Anoniem
Als mensen gevoelige info versturen via Whatsapp, is de slechte beveiliging van Whatsapp niet hun grootste probleem. Het is een gratis chatprogramma voor particulieren, geen zakelijke, dichtgetimmerde omgeving waar je dikke abonnements- of servicekosten voor betaald.
17-11-2013, 21:15 door Anoniem
Het allergrootste gevaar is er alleen wanneer je dingen zegt die persoon C,D,E, en F etc, niet mogen weten. Bedenk eens wat je op een terras allemaal bespreekt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.