Onderzoekers vinden manier om whatsappjes te manipuleren
Onderzoekers van securitybedrijf Check Point hebben een manier gevonden om WhatsApp-berichten te manipuleren, waardoor het lijkt dat iemand iets gezegd heeft zonder dat dit het geval is. In totaal zijn er drie mogelijkheden voor manipulatie, aldus de onderzoekers.
Zo is het mogelijk om in een groepsgesprek de identiteit van de afzender te veranderen, zelfs wanneer deze persoon geen lid van de groep is. Ook kan de tekst van iemands antwoord worden aangepast en kan er een bericht naar iemand in een groep worden gestuurd dat alleen hij ziet. Zodra de ontvanger antwoordt zal dat voor iedereen in de groep zichtbaar zijn.
Om de aanval uit te kunnen voeren moet een aanvaller eerst de privé en publieke sleutels van zijn eigen sessie zien te bemachtigen. Hiervoor hebben de onderzoekers een extensie voor Burp Suite gemaakt, een populaire tool waarmee de veiligheid van webapplicaties is te testen. De tool kan vervolgens worden gebruikt om verkeer van en naar de webversie van WhatsApp te onderscheppen. WhatsApp Web maakt het mogelijk om whatsappjes via de computer te versturen. Hiervoor worden de berichten met die van de smartphone gesynchroniseerd.
Voor deze koppeling genereert WhatsApp Web encryptiesleutels. Tijdens de generatiefase kunnen de sleutels vervolgens worden verkregen, aldus de onderzoekers. "Door de WhatsApp-communicatie te ontsleutelen waren we in staat om de parameters te zien die tussen de mobiele versie van WhatsApp en de webversie worden uitgewisseld. Hierdoor konden we ze manipuleren en naar kwetsbaarheden zoeken", zegt onderzoeker Dikla Barda.
Via het aanpassen van de parameters is het vervolgens mogelijk om berichten te manipuleren, zoals in onderstaande video wordt getoond. Check Point stelt dat het WhatsApp heeft geïnformeerd, maar laat verder niet weten of de problemen ook zijn verholpen.
De laatste tijd lees je wel vaker van die security onderzoekers die van allerlei lekken zeggen gevonden te hebben die achteraf niet bewezen kunnen worden.
Volgens mij is het Signal protocol zo ontwikkeld dat je lid van een groep moet zijn om berichten te kunnen ontvangen en lezen. Als je geen lid bent kun je ook de groepssleutel niet ontvangen, zelfs als je lid bent geweest krijg je de groepssleutel niet voorbij. Ik ben benieuwd hoe Moxie hierop zal gaan reageren.
De laatste tijd lees je wel vaker van die security onderzoekers die van allerlei lekken zeggen gevonden te hebben die achteraf niet bewezen kunnen worden.
Volgens mij is het Signal protocol zo ontwikkeld dat je lid van een groep moet zijn om berichten te kunnen ontvangen en lezen. Als je geen lid bent kun je ook de groepssleutel niet ontvangen, zelfs als je lid bent geweest krijg je de groepssleutel niet voorbij. Ik ben benieuwd hoe Moxie hierop zal gaan reageren.
Nee, dit is legit. Als je zelf de burp extentie gedownload had dan had je dat zelf ook kunnen testen?
De laatste tijd lees je wel vaker van die security onderzoekers die van allerlei lekken zeggen gevonden te hebben die achteraf niet bewezen kunnen worden.
Volgens mij is het Signal protocol zo ontwikkeld dat je lid van een groep moet zijn om berichten te kunnen ontvangen en lezen. Als je geen lid bent kun je ook de groepssleutel niet ontvangen, zelfs als je lid bent geweest krijg je de groepssleutel niet voorbij. Ik ben benieuwd hoe Moxie hierop zal gaan reageren.
Dit is gewoon het intercepten van een POST en daarin de tekst wijzigen, niets bijzonders. Wel leuk gevonden.
Dit is gewoon het intercepten van een POST en daarin de tekst wijzigen, niets bijzonders. Wel leuk gevonden.
Nee, dit gaat verder dan dat. Als je even de moeite neemt om de website door te lezen, dan zul je zien dat er heel veel verschillende toepassingen beschreven staan waarbij het bijvoorbeeld mogelijk is een bericht in een groepsapp te plaatsen die maar door 1 persoon gezien kan worden
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.