'SSL-problemen in WhatsApp ideaal voor NSA'
In WhatsApp zijn verschillende SSL-gerelateerde beveiligingsproblemen aanwezig die ideaal voor de NSA zijn, zo claimen de onderzoekers die de problemen ontdekten. WhatsApp gebruikt SSL om een versleutelde verbinding tussen gebruikers van de populaire app en de server op te zetten.
Dit moet voorkomen dat berichten en andere gegevens kunnen worden afgeluisterd. Onderzoekers van Praetorian ontdekten verschillende SSL-problemen die de vertrouwelijkheid van WhatsApp-gebruikersgegevens, zodra die naar de server worden gestuurd, zouden kunnen beïnvloeden. "Dit is precies waar de NSA dol op is. Het laat hen, of een aanvaller, een man-in-the-middle op de verbinding uitvoeren en dan de encryptie downgraden, om die dan te kraken en het verkeer af te luisteren", zegt Paul Jauregui van Praetorian.
Hij merkt op dat deze beveiligingsproblemen de communicatie en gegevens van WhatsApp-gebruikers in gevaar brengen. In totaal werden er vier problemen ontdekt. Het eerste probleem is dat WhatsApp geen SSL pinning toepast als er een verbinding wordt opgezet.
Door SSL-pinning kan een app een specifiek certificaat specificeren dat wordt vertrouwd en moet worden gebruikt voor het opzetten van de versleutelde verbinding. Zonder SSL-pinning kan een aanvaller een man-in-the-middle-aanval op de verbinding tussen de gebruiker en WhatsApp uitvoeren. Vervolgens zou de aanvaller inloggegevens en andere gevoelige informatie kunnen stelen.
Encryptie
Verder blijkt dat de servers van WhatsApp de zwakke 40-bit en 56-bit ciphers ondersteunt. De app communiceert standaard via de sterkste encryptie die de app en server ondersteunen. Een aanvaller zou het verkeer volgens Praetorian kunnen onderscheppen om die naar 40-bit of 56-bit DES-encryptie te downgraden, waardoor het vervolgens gekraakt kan worden.
Ook blijkt WhatsApp 'Null Ciphers' te ondersteunen. Het gaat hier om data die versleuteld zou moeten zijn, maar dat in werkelijkheid niet is. Als de app via SSL met de server probeert te communiceren en beide partijen ondersteunen geen normale encryptie, bijvoorbeeld als gevolg van een aanval, dan zal de informatie in platte tekst worden uitgewisseld. Het ondersteunen van Null Ciphers is zeer bijzonder, merkt Jauregui op.
Als laatste blijkt dat het SSLv2 protocol wordt ondersteund. In deze versie zijn verschillende kwetsbaarheden ontdekt waardoor gebruikers weer kwetsbaar voor man-in-the-middle-aanvallen zijn. Jauregui waarschuwt dat mobiele ontwikkelaars stil moeten staan bij het toevoegen van security en dat dit niet meer achteraf moet worden gedaan. "Het is tijd voor een fundamentele verandering in de manier waarop ontwikkelaars veilige mobiele applicaties bouwen."
Ik ben inmiddels overgestapt op een goed alternatief, welke wel de privacy van z'n gebruikers respecteert: https://threema.ch/en/
Volgens mij is het programma,inmiddels al bijgewerkt naar een nieuwere versie,waardoor deze bug is verholpen.
De oude (prepaid) telefoon is weer in gebruik.
Goed niet het nieuwste van het nieuwste, maar voldoet prima en een stuk kleiner dan de gemiddelde smartphone.
En is deze defect, geen nood voor rond de 20 euro heb je weer een nieuwe en gaat bij normaal gebruik ook weer lang mee.
Op Android kun je dan beter met het open source TextSecure werken, te installeren als sms vervanger maar als beide kanten het gebruiken kun je ook via certificaten berichten uitwisselen.
De beveiliging van sms is broken by design.
Broken by design? Ik kan mij niet voorstellen dat beveiliging überhaupt is opgenomen in het design!
Ontopic: Er schieten momenteel 'encrypted' alternatieven als paddestoelen uit de grond. In mijn vriendenkring stappen veel mensen over naar Telegram, maar die is niet bepaald veilig. Ze hebben een inhouse protocolletje ontwikkeld die gebruik maakt van bestaande, zeer zwakke ciphers.
Threema lijkt momenteel de veiligste oplossing, als je Amerikaanse applicaties buiten beschouwing laat. Bron: https://www.os3.nl/_media/2013-2014/courses/ssn/projects/threema_report.pdf
De beveiliging van sms is broken by design.
Broken by design? Ik kan mij niet voorstellen dat beveiliging überhaupt is opgenomen in het design!
Sterker nog, de onveiligheid (aftapbaarheid) is expliciet opgenomen in het ontwwerp.
Applicaties mogen best Amerikaans zijn, zolang ze maar geen verkeer naar Amerikaanse servers veresturen. Open source heeft wat mij betreft dan toch een streepje voor.
De beveiliging van sms is broken by design.
Broken by design? Ik kan mij niet voorstellen dat beveiliging überhaupt is opgenomen in het design!
Sterker nog, de onveiligheid (aftapbaarheid) is expliciet opgenomen in het ontwwerp.
SMS is ook nooit bedoeld geweest waarvoor het nu gebruikt wordt. Het was eigenlijk bedoelt om 'service berichten' te versturen.
En al dat geneuzel met oeh aah privacy dit en dat.. welkom in het digitale tijdperk. Ik stel voor om over te gaan op een postduif of iets in die richting als je iets te verbergen hebt.
NSA of AIVD, maar laten zich op het zelfde moment door commerciële bedrijven
met huid en haar verslinden. En de democratische controle op deze bedrijven wordt
uitgevoerd door aandeelhouders, die natuurlijk uw privacy als nummer één op hun
prioriteitenlijstje hebben staan. En dan heb ik het niet alleen over de Google's en
Facebook's maar ook over de Microsoft's,, Kasperky's, Samsungs Dells etc, van
deze wereld.
Op Android kun je dan beter met het open source TextSecure werken, te installeren als sms vervanger maar als beide kanten het gebruiken kun je ook via certificaten berichten uitwisselen....
Johan, fijn dat je de source van TextSecure zo grondig op veiligheid voor ons hebt onderzocht en tussen neus en lippen door de compiler ook nog even hebt onderzocht op foutjes. En natuurlijk ook de hardware waarop één en ander draait.
.
Luister allemaal nu toch eens: "Your privacy is ours".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
