WhatsApp-berichten iPhone eenvoudig af te luisteren
Naast de Android-versie is ook de iOS-versie van WhatsApp eenvoudig af te luisteren. Eerder deze week kwam beveiligingsonderzoeker Sam Granger met de ontdekking dat WhatsApp een hash van het omgedraaide IMEI-nummer van de telefoon als wachtwoord gebruikt. Dit kunnen anderen gebruiken om in naam van een slachtoffer berichten te versturen of zijn berichten te onderscheppen.
Granger ontdekte het probleem met de Android-versie van WhatsApp, maar vermoedde dat het probleem ook op andere platformen speelt. De Italiaanse onderzoeker Ezio Amodio besloot de iOS-versie onder de loep te nemen en ontdekte dat het vermoeden van Granger inderdaad klopt.
MAC-adres
De applicatie gebruikt hetzelfde mechanisme, maar dit keer wordt de MD5 hash berekend aan de hand van twee keer het MAC-adres of WiFi-interface, aangezien Apple niet toestaat dat applicaties van derden toegang tot het IMEI-nummer krijgen, zoals bij de Android-versie wel het geval is.
Het International Mobile Equipment Identity (IMEI) is meestal een 15-cijferig nummer dat een gsm-toestel identificeert. "Vanwege de beperkingen die Apple oplegt, over het opvragen van het IMEI-nummer, is de authenticatiemethode voor het iOS-apparaat minder veilig dan die van Android-apparaten. Het MAC-adres is eenvoudig te achterhalen op een WiFi-netwerk", aldus Amodio.
Het EMEI gebruiken als wachwoord was al behoorlijk stom, een MAC adres is nog idioter.
Alsof SMS, Imessage, G+ en anderen veel beter zijn.
Tja - als WhatsApp zelf zegt dat je berichten encrypted zijn dan suggereren ze toch wel erg sterk dat het veilig is, vind je ook niet? Alhoewel ze technisch wellicht niet liegen is het voor het merendeel van de gebruikers niet in te schatten of de encryptie voldoende is. En voordat je gaat lopen roepen dat ze dan maar beter moeten nadenken: wat weet jij van hart-chirurgie, je CV ketel, een bankspaarhypotheek, etc? Met andere woorden: het is makkelijk roepen als specialist op je vakgebied dat de rest zo dom is - we zijn allemaal dom buiten onze vakgebieden!
Uit de WhatsApp FAQ:
Are my messages secure?
If you are using the latest version of WhatsApp your messages are encrypted.
http://www.whatsapp.com/faq/en/general/21864047
Zie hier:
https://github.com/venomous0x/WhatsAPI/commit/a391ac20d6fd80d9d591e4a585dd3ca6818b0bc4 ( wa_functions.py ).
En de wazapp client had 't nog eerder.
Een iets betere implementatie zou zijn om een random nummer te genereren bij het activeren en dat als key te gebruiken (voor een sterk algorithme natuurlijk). Dan zou een aanvaller die eerste communicatie moeten onderscheppen, en dat wordt al een stuk lastiger (maar niet ondoenlijk als iemand bv. via wifi werkt).
De echt goede oplossing is natuurlijk een public-key systeem. Werkt wat lastiger maar is best te implementeren bij Whattsapp, met z'n initialisatie.
Maar de vraag blijft, zoals bij bijna alle crypto, wat je threat model is. Ik maak me hier niet zo druk over, want de kans dat een overheid optreedt als aanvaller en die gegevens simpelweg bij Whattsapp zelf opvraagt vind ik in mijn geval de grootste bedreiging en dat wordt door geen enkele encryptie tegengehouden. Tenzij men public key implementeert zonder zelf bij de keys te kunnen, maar daar krijg je als bedrijf geheid last mee (kijk maar naar de problemen die RIM ermee heeft).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.