image

Onderzoek naar versleutelde back-ups WhatsApp leverde meerdere lekken op

donderdag 11 november 2021, 16:43 door Redactie, 2 reacties

Vorige maand is WhatsApp begonnen om end-to-end versleutelde back-ups beschikbaar te maken voor gebruikers. Het externe beveiligingsonderzoek naar deze feature leverde meerdere kwetsbaarheden op, waaronder de mogelijkheid voor aanvallers om back-ups te ontsleutelen. Het onderzoeksrapport is onlangs openbaar gemaakt door securitybedrijf NCC Group, dat het onderzoek uitvoerde.

De end-to-end versleutelde back-ups worden versleuteld met een willekeurig gegenereerde encryptiesleutel. Gebruikers kunnen ervoor kiezen om deze encryptiesleutel handmatig of met een wachtwoord te beschermen. Bij de handmatige optie moet een 64-cijferige weergave van de encryptiesleutel worden genoteerd. Bij de keuze voor een wachtwoord wordt de encryptiesleutel in een hardware security module (HSM)-gebaseerde Backup Key Vault bij WhatsApp opgeslagen.

De onderzoekers van NCC Group ontdekten dat WhatsApp gebruikmaakte van een zwakke 512 bits RSA key signing key, waardoor aanvallers twee diensten van de berichtenapp konden imiteren en zo back-ups van gebruikers zouden kunnen ontsleutelen. Een andere kwetsbaarheid maakte het mogelijk voor een aanvaller om het WhatsApp-wachtwoord en versleutelde back-up-informatie van de gebruiker te achterhalen. Verschillende kwetsbaarheden in het verwerken van wachtwoorden zorgden ervoor dat een aanvaller eenvoudiger wachtwoorden van gebruikers zou kunnen bruteforcen.

In totaal vonden de onderzoekers zeventien kwetsbaarheden en zes "informational findings". Het onderzoek naar de end-to-end versleuteling van back-ups vond deze zomer plaats. WhatsApp ging met de onderzoeksresultaten aan de slag en voerde verschillende aanpassingen door. Vervolgens werden deze aanpassingen eind augustus getest. Voor de uitrol van feature zijn vijfiten van de gevonden bevindingen verholpen. De resterende problemen hebben een lage impact of zijn informatief. WhatsApp legt in het onderzoeksrapport ook uit waarom deze problemen niet zijn verholpen (pdf).

Image

Reacties (2)
12-11-2021, 13:08 door Briolet
Weer eens een heel suggestieve titel. Het betreft allemaal lekken die in de beta fase gevonden zijn. Maar daar zijn beta fases ook voor bedoeld en gooi je een product niet direct op de markt.
12-11-2021, 22:25 door Anoniem
Door Briolet: Weer eens een heel suggestieve titel. Het betreft allemaal lekken die in de beta fase gevonden zijn. Maar daar zijn beta fases ook voor bedoeld en gooi je een product niet direct op de markt.
Beta fase of niet, whatsapp blijft gewoon shit.. Snap niet dat er nog mensen zijn die het gebruiken, ik heb mijn volledige sociale cirkel laten overstappen op signal, kleine moeite en veel privacy/security winst.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.