Nieuws
image

WhatsApp gebruikt IMEI-nummer als wachtwoord

maandag 10 september 2012, 10:32 door Redactie, 8 reacties

WhatsApp gebruikt het IMEI-nummer van gebruikers als wachtwoord, zo heeft een beveiligingsonderzoeker ontdekt. De populaire berichtendienst gebruikt volgens Sam Granger het omgedraaide IMEI-nummer van de telefoon voor authenticatie, waarover een MD5-hash zonder salt is gehaald. Het International Mobile Equipment Identity (IMEI) is meestal een 15-cijferig nummer dat een gsm-toestel identificeert.

Authenticatie
Granger ontdekte het probleem met de Android-versie van WhatsApp, maar denkt dat het probleem ook op andere platformen speelt. "Dit kan grote gevolgen voor het leven van mensen hebben als je hun account gebruikt om berichten te sturen naar iemand die ze kennen." Ook is het volgens de onderzoeker mogelijk om naaktfoto's en andere gevoelige, persoonlijke berichten te onderscheppen.

Het IEMI-nummer is volgens Granger ongeschikt voor authenticatie, omdat het eenvoudig is te achterhalen. Iemand die toegang tot de telefoon heeft kan het via een paar handelingen opvragen. Ook is het mogelijk een app te ontwikkelen die het IMEI-nummer steelt. Een andere aanvalsvector is het lekken van een database of bestand met IMEI-nummers, zoals onlangs met Apple apparaatcodes gebeurde.

Reacties (8)
10-09-2012, 10:48 door Anoniem
Oud nieuws, zie https://github.com/venomous0x/WhatsAPI

en dan specifiek:


Much like XMPP, WhatsApp uses JID (jabber id) and password to successfully login to the service. The password is hashed and happened to be an MD5’d, reversed-version of the mobile’s IMEI (International Mobile Equipment Identity) or equivalent unique ID, stored in servers upon account creation and used transparently everytime the client connects the server.

The JID is a concatenation between your country’s code and mobile number.

Initial login uses Digest Access Authentication.
10-09-2012, 11:38 door Anoniem
Wat een ontdekking. Dit was al lang een breed te zien in de source code van de open source versies.
10-09-2012, 12:09 door Anoniem
Vervelend, want dat doe ik inderdaad iedere dag: naaktfoto's mobiel versturen.
10-09-2012, 13:22 door Anoniem
Alleen naaktfoto's?
10-09-2012, 17:13 door fvandillen
Heb net even zitten kijken op de Github pagina van het Venomous groepje, klinkt best interessant om met een interface van AJAX en HTML5 een mooie desktop whatsapp te hebben!
10-09-2012, 18:55 door Anoniem
Er moeten fikse boetes komen voor dit soort incompetenties....
11-09-2012, 07:22 door Above
Ik ben sinds kort overgestapt naar Kik Messenger en dat werkt veel beter en sneller dan Whatsapp. Hier kun je wel je eigen wachtwoord aanmaken en heb je ook geen telefoonnummer nodig dus kan op iedere tablet.
17-09-2012, 17:20 door intrax
Door Above: Ik ben sinds kort overgestapt naar Kik Messenger en dat werkt veel beter en sneller dan Whatsapp. Hier kun je wel je eigen wachtwoord aanmaken en heb je ook geen telefoonnummer nodig dus kan op iedere tablet.
Dank u voor deze tip !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure