image

"Chatapps eenvoudiger aan te vallen door nummer als account"

dinsdag 14 mei 2019, 16:36 door Redactie, 12 reacties

Het gebruik van het telefoonnummer als account door chatapps zoals Signal, Telegram en WhatsApp is een inherente ontwerpfout en maakt het eenvoudiger om gebruikers aan te vallen. Dat stelt Costin Raiu, directeur van het Global Research and Analysis Team van antivirusbedrijf Kaspersky Lab.

Raiu reageerde op het nieuws dat een zerodaylek in WhatsApp is gebruikt om gebruikers met spyware te infecteren. Aanvallers hoefden het slachtoffer alleen via WhatsApp te bellen. Interactie van het slachtoffer was niet vereist. Dit houdt in dat de aanvallers alleen het telefoonnummer van het doelwit hoeven te hebben. Iets wat volgens Raiu een inherente ontwerpfout is.

"Dit maakt het eenvoudiger voor iedereen om kwetsbaarheden in deze apps te misbruiken en je aan te vallen via niets anders dan je telefoonnummer", aldus de onderzoeker in een tweet die hij op persoonlijke titel verstuurde. "Het is eenvoudig om iemands telefoonnummer te bemachtigen, maar niet zo eenvoudig om iemands ID op een willekeurige messenger te krijgen. Het vereenvoudigt de aanvalsvector enorm, wat het aanvallen veel eenvoudiger maakt."

Volgens Raiu is het gebruik van het telefoonnummer als account een typisch voorbeeld van het opofferen van security voor gemak. "Het is echter niet nodig. Je kunt beide krijgen, zoals Threema laat zien." Threema is een chatapp dat niet van het telefoonnummer afhankelijk is. Elke gebruiker krijgt een willekeurig gegenereerd achtcijferig Threema ID dat als uniek adres fungeert.

Image

Reacties (12)
14-05-2019, 18:12 door Anoniem
Ik bekeek threema even de in play store, toen zocht ik naar de apk file, maar de apk file lijkt dus niet gratis. Is de app van de play store dan wel gratis?
14-05-2019, 20:55 door Anoniem
Daarom moet je ook niet strooien met jouw 06-nummer. Veel beter gebruik je een vast nummer en houd je je 06 privé.

Bij Signal en Telegram (Telegram weet ik niet zeker, verwacht het wel (iemand die het kan bevestigen?). Sowieso niet met whatsapp) kun je je gewoon registreren met een vast nummer. Misbruik hiervan is een stuk lastiger, volgen wordt stuk lastiger.
En voor het geld hoef je het niet te laten voor 15 euro (per jaar) heb je een vast nummer, dat provider onafhankelijk is en dus wereldwijd te gebruiken.
14-05-2019, 21:17 door Bitwiper
Door Anoniem: Ik bekeek threema even de in play store, toen zocht ik naar de apk file, maar de apk file lijkt dus niet gratis. Is de app van de play store dan wel gratis?
Ik begrijp misschien niet wat je bedoelt, maar voor zover ik weet zit elke Android app in een apk file (effectief een zip file met een andere bestandsextensie).

De Threema app is niet gratis, maar van een paar Euro lig ik niet wakker. Ik gebruik Threema al een tijdje op m'n iPhone (vorige week heb ik WhatsApp eraf gehooid). Ik heb er geen bewijs voor, maar hoop dat de privacy van mensen in mijn adresboek er minder onder leidt dan bij WhatsApp het geval was. Door ervoor te betalen hoop ik dat niet zij en ik het product zijn.
14-05-2019, 21:20 door Bitwiper
Door Anoniem: Daarom moet je ook niet strooien met jouw 06-nummer.
Als je WhatsApp gebruikt strooi je met jouw 06 nummer. En met alle 06 nummers in jouw adresboek.
15-05-2019, 00:43 door Anoniem
Ik begrijp niet waarom messaging aan een telefoonnumer gekoppeld moet worden.
Van iemand hoorde ik dat dit moet van de geheime diensten, zodat altijd kan worden getraceerd wie messaging gebruikt.
Is er iemand die hier meer van weet?
15-05-2019, 10:18 door Anoniem
Door Anoniem:Bij Signal en Telegram (Telegram weet ik niet zeker, verwacht het wel (iemand die het kan bevestigen?). Sowieso niet met whatsapp) kun je je gewoon registreren met een vast nummer.

Wanneer je bij Telegram probeert om een vast nummer te registreren is dat een "invalid phone number"
15-05-2019, 10:43 door Anoniem
Telegram heeft een optie om een gebruikersnaam aan te maken, hoef je dus niet met je 06 nummer te strooien.
15-05-2019, 12:48 door Anoniem
Hoe weet ik of de telefoon van mijn dochter besmet is (ze klaagde dat er weer eens een onbekend nummer had gebeld en dat ze niet had opgenomen) en hoe krijg je die besmetting weer weg?
15-05-2019, 13:08 door Anoniem
Door Bitwiper:
Door Anoniem: Ik bekeek threema even de in play store, toen zocht ik naar de apk file, maar de apk file lijkt dus niet gratis. Is de app van de play store dan wel gratis?
Ik begrijp misschien niet wat je bedoelt, maar voor zover ik weet zit elke Android app in een apk file (effectief een zip file met een andere bestandsextensie).

De Threema app is niet gratis, maar van een paar Euro lig ik niet wakker. Ik gebruik Threema al een tijdje op m'n iPhone (vorige week heb ik WhatsApp eraf gehooid). Ik heb er geen bewijs voor, maar hoop dat de privacy van mensen in mijn adresboek er minder onder leidt dan bij WhatsApp het geval was. Door ervoor te betalen hoop ik dat niet zij en ik het product zijn.
Vooor die paar euro's lig ik inderdaad niet wakker, maar als je iemand graag op threema wil zien, vrees ik dat het er niet van komen zal. Een gratis app + registeren met phone nummer is super snel en makkelijk en mensen kiezen altijd voor het gemak.
16-05-2019, 10:17 door Anoniem
Dus Threema gebruikt willekeurige nummers. Ik heb ineens ICQ flashbacks.
16-05-2019, 16:45 door Whacko
Door Anoniem: Dus Threema gebruikt willekeurige nummers. Ik heb ineens ICQ flashbacks.
oh maar ICQ was niet willekeurig, maar moest er ook even aan denken :P
17-05-2019, 22:45 door Anoniem
Duuhhh,

Ze koppelen het toch ook niet voor de veiligheid aan je telefoon, maar voor de commercie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.