Een Saoedische telecomprovider heeft een bekende hacker en beveiligingsonderzoeker gevraagd om te helpen bij het afluisteren van WhatsApp, Twitter, Viber en Line. Platformen die door miljoenen mensen wereldwijd worden gebruikt om met elkaar te communiceren. Moxie Marlinspike besloot het verzoek echter op zijn blog te publiceren.

De hacker werd bekend door verschillende man-in-the-middle-tools, onder andere voor het onderscheppen van SSL-verkeer. Daarnaast ontwikkelde Marlinspike een veilige distributie van het Android-besturingssysteem en verschillende apps om versleuteld te bellen en chatten. Ook werkte hij enige tijd bij Twitter.

Marlinspike merkt op dat hij vaker verzoeken krijgt om verkeer te onderscheppen, die hij meestal negeert. In dit geval wekte de e-mail, met het onderwerp 'Solution for monitoring encrypted data on telecom', de interesse van de onderzoeker.

Na een week van e-mails uitwisselen bleek dat Mobily, één van de twee providers in Saoedi-Arabië, geinteresseerd was om Mobile Twitter, Viber, Line en WhatsApp af te luisteren en te blokkeren.

Certificaten
Het blokkeren van de applicaties zou al zijn geregeld, maar voor het aftappen werd de hulp van Marlinspike ingeroepen. Uit de documentatie die de hacker ontving bleek dat ze een Certificate Authority wilden inzetten om SSL-certificaten uit te geven waarmee het verkeer kon worden onderschept.

Een ander deel van het document ging over het aanschaffen van SSL-kwetsbaarheden of andere beveiligingslekken als oplossing voor het onderscheppen van versleuteld verkeer. Marlinspike was niet van het plan onder de indruk, dat op sommige punten niet klopte. Toch verwacht hij dat Mobily, met een omzet van 5 miljard dollar per jaar, het uiteindelijk zal uitvogelen.

Later kreeg de hacker te horen dat er al een prototype werkte voor het onderscheppen van WhatsApp-berichten. De telecomprovider was verbaasd over hoe eenvoudig het was. Marlinspike merkt op dat de standaard voor de meeste van deze apps zeer laag is, behalve bij Twitter, waar hij zelf de TLS-versleuteling ontwikkelde.

Terrorisme
Mobily vroeg Marlinspike wat hij voor de klus wilde hebben, maar hij weigerde wegens privacyredenen. Daarop kreeg hij een e-mail waarin de terrorismekaart werd gespeeld. Volgens de provider heeft Saoedi-Arabië een terreurprobleem en zouden de terroristen deze diensten misbruiken voor het verspreiden van hun boodschap.

Als Marlinspike niet wilde meehelpen, werd hij beschuldigd van het indirect helpen van de terroristen. De onderzoeker erkent dat het niet netjes is om de berichten van Mobily te publiceren, maar wil op deze manier de discussie over het aftappen van verkeer op gang brengen, aangezien dit soort praktijken wereldwijd plaatsvinden. "En dat kunnen we niet negeren", zegt Marlinspike.