Gebruikers van de zeer populaire berichtenapp WhatsApp moeten ervan uitgaan dat vanwege gebreken in de encryptie al hun berichten zijn gecompromitteerd, zo waarschuwt de Nederlandse informaticastudent Thijs Alkemade. Alkemade is tevens de hoofdontwikkelaar van het chatprogramma Adium.
In het verleden zijn er al vaker problemen met de beveiliging van WhatsApp aangetoond en die zijn volgens Alkemade nog niet voorbij. Hij analyseerde de gebruikte encryptie en kwam verschillende problemen tegen. De eerste fout die WhatsApp maakt is dat het dezelfde encryptiesleutel voor beide richtingen gebruikt. Hierdoor is het mogelijk om de inhoud van berichten te achterhalen.
Het tweede probleem is dat WhatsApp dezelfde HMAC-sleutel gebruikt. Keyed-hash message authentication code (HMAC) wordt gebruikt voor het authenticeren van berichten, om zo manipulatie door een aanvaller te voorkomen. De implementatie laat echter te wensen over. Zo wordt er geen teller gebruikt en wordt de sleutel hergebruikt die eerder voor de RC4-encryptie is gebruikt. De informaticastudent weet echter niet of een aanvaller dit laatste probleem kan misbruiken.
Volgens Alkemade is het wel mogelijk dat iemand die de WhatsApp-verbinding van de gebruiker kan afluisteren met voldoende moeite ook alle berichten kan ontsleutelen. "Je moet dan ook al je eerdere WhatsApp-gesprekken als gecompromitteerd beschouwen", zo waarschuwt de informaticastudent.
Totdat WhatsApp met een update komt is er weinig dat gebruikers hier tegen kunnen doen. Als bewijs ontwikkelde Alkemade een proof-of-concept Pythonscript dat berichten naar WhatsApp kan onderscheppen en ze vervolgens probeert te ontsleutelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.