image

Kapen WhatsApp-account nog steeds kinderspel

maandag 3 december 2012, 09:50 door Redactie, 7 reacties

Het is nog steeds vrij eenvoudig om accounts van WhatsApp-gebruikers over te nemen. Het IMEI- en telefoonnummer van het slachtoffer volstaan, aldus het Duitse Heise. WhatsApp is een populaire app voor het versturen van tekstberichten. In augustus werd bekend dat WhatsApp de berichten van gebruikers niet meer in platte tekst verstuurd, maar versleutelde.

Een paar weken later werd duidelijk dat de versleuteling nauwelijks bescherming bood. WhatsApp gebruikt namelijk het IMEI-nummer en het Mac-adres van de WiFi-interface.

Een kleine aanpassing aan de WhatsAPI PHP library zorgde ervoor dat verschillende tools de informatie weer konden onderscheppen en inzien, om vervolgens een account over te nemen. Twee weken geleden werd bekend dat WhatsApp een aanpassing aan de code had doorgevoerd, waardoor de WhatsAPI library niet meer werkte.

Kwetsbaar
Volgens Heise gaat het niet om een structurele verbetering van de beveiliging, maar is er sprake van 'security through obscurity'. Een lezer schreef een script dat ervoor zorgt dat WhatsAPI library toch weer werkt en het wederom mogelijk is om accounts te kapen.

Het probleem is aanwezig in de Android-versie van de app (2.8.7326), maar mogelijk zijn ook andere clients kwetsbaar. Heise adviseert WhatsApp-gebruikers om een ander programma te gebruiken.

Reacties (7)
03-12-2012, 09:59 door Fabian76
Tja. Als je allerlei gegevens weet is alles "eenvoudig" te kapen natuurlijk.

"Bankrekening eenvoudig te kapen. Het rekeningnummer en de pincode volstaat."
03-12-2012, 10:14 door Anoniem
Door Fabian76: Tja. Als je allerlei gegevens weet is alles "eenvoudig" te kapen natuurlijk.

"Bankrekening eenvoudig te kapen. Het rekeningnummer en de pincode volstaat."
Met dat verschil dat een pincode geheim hoort te zijn en ook niet plaintext over een netwerkverbinding hoort te gaan. En dat is dus het manco van whatsapp: de gegevens die gebruikt worden voor authenticatie, worden rücksichtsloss over het netwerk gestuurd. Bovendien zijn het sowieso geen gegevens waarvan de gebruiker weet dat ie ze geheim moet houden.
03-12-2012, 11:31 door SirDice
Heise adviseert WhatsApp-gebruikers om een ander programma te gebruiken.
Je moet tegenwoordig ook al betalen voor Whatsapp. En je account verwijderen duurt 30-60 dagen!
03-12-2012, 15:02 door Anoniem
Stap lekker over naar LINE. Werkt perfect, en heeft een geweldige camera app, en een prima belfunctie bovendien.

http://line.naver.jp/en/ (iPhone, Android, Windows, Blackberry, PC/Mac)
03-12-2012, 15:12 door WesleySmalls
Dus het is makkelijker om iemands account te hijacken dan om je eigen account op een andere telefoon te gebruiken?

Whatsapp klopt van geen kant, en het is maar dat het de meestgebruikte is andera had ik het niet eens overwogen, dit is ronduit belachelijk
03-12-2012, 18:23 door SirDice
Door WesleySmalls: Dus het is makkelijker om iemands account te hijacken dan om je eigen account op een andere telefoon te gebruiken?
Daar komt het wel op neer. Nadat ik deze reactie kreeg viel ik bijna van m'n stoel:

We have deactivated your account.

We cannot delete your account for security reasons. However, your deactivated account will automatically be deleted 30~60 days after deactivation.

This means that the account on your phone is completely disabled, but your friends will still see you as a WhatsApp user. They can send you messages, which will remain offline for about 30 days.

If you register the same number to WhatsApp within this time period, you will receive these offline messages. You will also still be in your group chats and your account will be re-activated.

Handig ook, wel het account disablen zodat je er zelf niet meer bij kan maar vervolgens "ziet" iedereen je nog wel en kunnen ze ook nog steeds berichten naar je sturen...

Zijn die 60 dagen al voorbij.... verdomme....
03-12-2012, 18:41 door KwukDuck
Jup, ik ben ook lekker op LINE over. Werkt erg goed ook tot nu toe.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.