image

The Guardian wijzigt artikel WhatsApp-backdoor na kritiek

zondag 22 januari 2017, 08:41 door Redactie, 9 reacties

De Britse krant The Guardian heeft na felle kritiek van beveiligingsexperts een artikel over een vermeende backdoor in WhatsApp deels aangepast. De beveiligingsexperts hadden echter opgeroepen om het artikel in te trekken. Vorige week kwam The Guardian met een artikel waarin werd gesteld dat een backdoor in WhatsApp het mogelijk maakt om berichten af te luisteren.

WhatsApp gebruikt end-to-end-encryptie om berichten tussen gebruikers te versleutelen. Als de ontvanger van een bericht offline is en met een nieuwe telefoon online komt, zal WhatsApp het verstuurde bericht met een nieuwe sleutel versleutelen en vervolgens afleveren. In theorie zou het bericht zodoende door WhatsApp kunnen worden gelezen. Daarnaast worden WhatsApp-gebruikers standaard niet gewaarschuwd als een verzonden bericht met een andere encryptiesleutel is versleuteld.

Het probleem in kwestie werd gerapporteerd door onderzoeker Tobias Boelter van de universiteit van Californië. Hij had het probleem vorig jaar april ook al via zijn eigen website openbaar gemaakt omdat WhatsApp niet met een oplossing wilde komen. WhatsApp laat echter weten dat het om een bewuste ontwerpkeuze gaat, omdat gebruikers anders berichten zouden missen. Een coalitie van erkende beveiligingsexperts en cryptografen verdedigt deze keuze van WhatsApp en hekelt de berichtgeving door The Guardian.

Volgens de experts zorgt de berichtgeving ervoor dat mensen nu denken dat WhatsApp onveilig is, terwijl dat volgens de experts niet zo is. Daarnaast moet WhatsApp met andere diensten concurreren die helemaal geen encryptie toepassen. Door berichten toch af te leveren vergroot WhatsApp de betrouwbaarheid en het gebruiksgemak voor gebruikers, die zodoende ook nog eens versleuteld communiceren. Verder is het probleem in kwestie een kleine en onwaarschijnlijke dreiging, aldus de experts.

Die roepen The Guardian dan ook op om het bericht in te trekken, excuses aan te bieden en uit te leggen dat de aanval zeer lastig is om uit te voeren en de dreiging erg klein is. Het artikel van de Britse krant staat nog steeds online. Waar er echter eerst over "backdoor" werd gesproken is dit nu in de tekst en titel door "kwetsbaarheid" vervangen. De krant maakt echter nergens duidelijk dat het de tekst heeft aangepast.

Reacties (9)
22-01-2017, 09:41 door Anoniem
Daarnaast moet WhatsApp met andere diensten concurreren die helemaal geen encryptie toepassen. Door berichten toch af te leveren vergroot WhatsApp de betrouwbaarheid en het gebruiksgemak voor gebruikers, die zodoende ook nog eens versleuteld communiceren.
Kortom: wederom 'veiligheid' inleveren voor 'het is zo makkelijk'... Tsja...
22-01-2017, 10:32 door Anoniem
Door Anoniem:Kortom: wederom 'veiligheid' inleveren voor 'het is zo makkelijk'... Tsja...
Dit is altijd het geval. Je kunt een perfecte security implementeren, maar dan gaan gebruikers er om heen werken of het net gebruiken.
En zoals vele op internet al lieten weten, het is/was een storm in een glas water.

Je ziet dit steeds meer gebeuren.
* Mag ik geen USB sticks meer gebruiken, dan gebruik ik wel een cloud leverancier om mijn data over te zetten?
* Wachtwoord moet iedere 30 dagen veranderen, en minimaal 12 tekens lang zijn. Prima, postnote gebruiken of DitIsMijnWachtwoord201701

Een gebruiker moet wel kunnen werken, zodra security in hun weg zit, gaan ze er omheen.
22-01-2017, 10:52 door Anoniem
Nee dat staat er helemaal niet. Inleveren op veiligheid is het niet. Het probleem is dat veel mensen de context niet begrijpen en/of over onvoldoende kennis en kunde beschikken om hier een juiste uitspraak over te doen. Napraters die kundig over willen komen. Buiten dat de kans op misbruik minimaal is kan het 98% van de gebruikers geen moer interesseren of iets wel of niet veilig is. Men heeft het jaren gebruikt zonder versleuteling en was daar niet eens bewust van. Dat zijn dezelfde luitjes die heel het privé leven op een openbaar sociaal account gooien en 1001 apps installeren op Android. Goed, vertrouw je het niet dan gebruik je iets anders. Maar praten over backdoors en inleveren op veiligheid...te grappig!
22-01-2017, 14:17 door Anoniem
Misschien beschik ik ook niet over de juiste kennis, maar hoe kan WhatsApp een bericht opnieuw versleutelen als er "end-to-end" encryptie wordt gebruikt? Of wordt het opnieuw versturen vanaf de verzendende telefoon geinitieerd, en niet (zoals het op mij overkomt) vanaf de server van WhatsApp?
22-01-2017, 14:26 door Anoniem
dit is echt onzin en een schoolvoorbed van internet massa-trappen.
ja, het is gewoon WEL een backdoor.
je zegt dat whatsapp end2end encrypted is en dat niemand kan meekijken.
dit is onmogelijk als je een nieuwe encryptie sleutel kunt aanmaken en het bericht opnieuw kunt sturen.
verder dat de sleutels veranderd kunnen worden zonder nieuwe handshake en dat bij default dit ook niet verteld wordt is fout 3.

even een analogie naar bijvoorbeeld windows account. een beheerder kan een wachtwoord niet zien. dus zeg je als whatapp equivalent dat er end2end encryptie is... maar een win beheerder kan wel het wachtwoord resetten en dan inloggen met gegevens die hij weet... vervolgens reset ie het wachtwoord naar null en verplicht ie een password refresh. gebruiker ziet niets... equivalent bij whatsapp, de sleutels worden gerefreshed en de gebruiker ziet ook niets..

flawed by design dat whatsapp.. en opzettelijk. want hoe vaak pakken mensen een nieuwe telefoon? 1keer per jaar? 1 keer in 3 jaar?.. en hoe groot is de kans dat er berichten verstuurd worden in die periode? en hoe vreemd zou het zijn en gevonden worden als dan een bericht niet aan komt?
backup van je whatsapp meenemen is ook al een drama, dus voor gebruikersgemak? geloof er niets van
22-01-2017, 17:52 door Briolet - Bijgewerkt: 22-01-2017, 17:56
Door Anoniem: Misschien beschik ik ook niet over de juiste kennis, maar hoe kan WhatsApp een bericht opnieuw versleutelen…

Die kennis heb je niet nodig, maar staat in een van de links uit het artikel.

…But this time this message does not get delivered. For example because Bob is offline, or the WhatsApp server just does not forward the message.

Now the attacker comes in. He registers Bob's phone number with the WhatsApp server (by attacking the way to vulnerable GSM network, putting WhatsApp under pressure or by being WhatsApp itself).

Alice's WhatsApp client will now automatically, without Alices' interaction, re-encrypt the second message with the attackers key and send it to the attacker, who receives it:

Het is dus de cliënt van de verzender die het bericht met de nieuwe key versleutelt en opnieuw verstuurt, omdat het nog niet afgeleverd was.
23-01-2017, 07:05 door Anoniem
Ik vraag me ernstig af waarom die zogenaamde beveiligingsexperts zich zo expliciet voor Whatsapp uitspreken. Wat maakt het nu uit wanneer een website iets zegt over een mogelijke backdoor, zolang je er zelf geen belang bij hebt is er geen reden je daar heel erg druk over te maken laat staan dat je voor een commerciële uitbater als Facebook gaat staan. Ik zou me daar ver bij vandaan houden want stel dat de mogelijkheid wel een keer misbruikt wordt sta je als zogenaamde beveiligingsexpert mooi in je hemd en neemt niemand je meer serieus.
Mij verbaasd dat een bericht nog steeds beschikbaar kan zijn als de encryptiesleutel weg is of vergeten. In de normale wereld van encryptie betekend dat einde bericht en dat zou het ook bij Whatsapp moeten zijn. Dat er dan toch nog de mogelijkheid wordt geboden om met een nieuwe encryptiesleutel toch het bericht te kunnen lezen is gewoon het ondermijnen van de end 2 end versleuteling. Of je dat een achterdeur of niet wilt noemen maakt an sich niet uit, het blijft een opening in de encryptie flow.
De oorspronkelijke ontvanger behoort aan de verzender aan te geven dat deze een nieuw nummer en dus over een nieuwe encryptiesleutel beschikt en moet dan verzoeken om het bericht opnieuw toe te sturen zodat er met de nieuwe encryptiesleutel wordt gewerkt.
23-01-2017, 10:07 door Anoniem
De experts hebben gelijkl, het is waarschijnlijk een moeilijk uit te voeren aanval voor een derde partij. Maar FB zit in de positie waarin zij het een heel stuk makkelijker hebben. Want zowel het sleutelbeheer, de software en het dataverkeer lopen allen via de servers van FB.

Ik vraag mij af of Facebook/WhatsApp systematisch de aflevering van een bericht kan onderdrukken en zo een her-sign met een tweede sleutel kan afdwingen van de zendende client. Daarna levert FB het eerste onderdrukte bericht alsnog af. Daarmee zou FB/WA iemand stelselmatig af kunnen luisteren zonder dat die persoon dat in de gaten heeft.

Ik vraag mij ook af of de keuze van de gebruiker om deze waarschuwingen te zien ook wordt doorgegeven aan FB zodat zij niet tegen de lamp lopen bij die enkelen die wel het vlaggetje aanzetten.
23-01-2017, 22:53 door Anoniem
Door Anoniem: Ik vraag me ernstig af waarom die zogenaamde beveiligingsexperts zich zo expliciet voor Whatsapp uitspreken. Wat maakt het nu uit wanneer een website iets zegt over een mogelijke backdoor, zolang je er zelf geen belang bij hebt is er geen reden je daar heel erg druk over te maken laat staan dat je voor een commerciële uitbater als Facebook gaat staan. Ik zou me daar ver bij vandaan houden want stel dat de mogelijkheid wel een keer misbruikt wordt sta je als zogenaamde beveiligingsexpert mooi in je hemd en neemt niemand je meer serieus.
Hun punt is niet om partij te kiezen voor de een of de ander en het betekent al helemaal niet dat ze nu voortaan Whatsapp in alles zullen steunen. Van experts mag je verwachten dat ze hun oordeel niet baseren over wat ze verder voor mening over Whatsapp hebben, maar over de vraag of de informatie die The Guardian gaf wel of niet in dit geval feitelijk juist is. En hun oordeel is dat die feitelijk onjuist is. Er werd iets beweerd dat niet klopt, en ze hebben gezegd dat het niet klopt. Niet meer en niet minder.

Mij verbaasd dat een bericht nog steeds beschikbaar kan zijn als de encryptiesleutel weg is of vergeten.
Dat is dan ook niet wat er gebeurt. De ontvanger heeft een nieuwe telefoon en Whatsapp geeft de verzender opdracht het bericht opnieuw te versleutelen (ze kunnen er zelf dus niet bij, het gebeurt bij de verzender) en versturen. Volg de link naar de coalitie van veiligheidsexperts en volg weer de links in hun artikel, en je krijgt een idee van waarom ze vinden dat dat lang niet zo'n groot probleem is als The Guardian suggereerde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.