WhatsApp-berichten iPhone eenvoudig af te luisteren
Naast de Android-versie is ook de iOS-versie van WhatsApp eenvoudig af te luisteren. Eerder deze week kwam beveiligingsonderzoeker Sam Granger met de ontdekking dat WhatsApp een hash van het omgedraaide IMEI-nummer van de telefoon als wachtwoord gebruikt. Dit kunnen anderen gebruiken om in naam van een slachtoffer berichten te versturen of zijn berichten te onderscheppen.
Granger ontdekte het probleem met de Android-versie van WhatsApp, maar vermoedde dat het probleem ook op andere platformen speelt. De Italiaanse onderzoeker Ezio Amodio besloot de iOS-versie onder de loep te nemen en ontdekte dat het vermoeden van Granger inderdaad klopt.
MAC-adres
De applicatie gebruikt hetzelfde mechanisme, maar dit keer wordt de MD5 hash berekend aan de hand van twee keer het MAC-adres of WiFi-interface, aangezien Apple niet toestaat dat applicaties van derden toegang tot het IMEI-nummer krijgen, zoals bij de Android-versie wel het geval is.
Het International Mobile Equipment Identity (IMEI) is meestal een 15-cijferig nummer dat een gsm-toestel identificeert. "Vanwege de beperkingen die Apple oplegt, over het opvragen van het IMEI-nummer, is de authenticatiemethode voor het iOS-apparaat minder veilig dan die van Android-apparaten. Het MAC-adres is eenvoudig te achterhalen op een WiFi-netwerk", aldus Amodio.
Het EMEI gebruiken als wachwoord was al behoorlijk stom, een MAC adres is nog idioter.
Alsof SMS, Imessage, G+ en anderen veel beter zijn.
Tja - als WhatsApp zelf zegt dat je berichten encrypted zijn dan suggereren ze toch wel erg sterk dat het veilig is, vind je ook niet? Alhoewel ze technisch wellicht niet liegen is het voor het merendeel van de gebruikers niet in te schatten of de encryptie voldoende is. En voordat je gaat lopen roepen dat ze dan maar beter moeten nadenken: wat weet jij van hart-chirurgie, je CV ketel, een bankspaarhypotheek, etc? Met andere woorden: het is makkelijk roepen als specialist op je vakgebied dat de rest zo dom is - we zijn allemaal dom buiten onze vakgebieden!
Uit de WhatsApp FAQ:
Are my messages secure?
If you are using the latest version of WhatsApp your messages are encrypted.
http://www.whatsapp.com/faq/en/general/21864047
Zie hier:
https://github.com/venomous0x/WhatsAPI/commit/a391ac20d6fd80d9d591e4a585dd3ca6818b0bc4 ( wa_functions.py ).
En de wazapp client had 't nog eerder.
Een iets betere implementatie zou zijn om een random nummer te genereren bij het activeren en dat als key te gebruiken (voor een sterk algorithme natuurlijk). Dan zou een aanvaller die eerste communicatie moeten onderscheppen, en dat wordt al een stuk lastiger (maar niet ondoenlijk als iemand bv. via wifi werkt).
De echt goede oplossing is natuurlijk een public-key systeem. Werkt wat lastiger maar is best te implementeren bij Whattsapp, met z'n initialisatie.
Maar de vraag blijft, zoals bij bijna alle crypto, wat je threat model is. Ik maak me hier niet zo druk over, want de kans dat een overheid optreedt als aanvaller en die gegevens simpelweg bij Whattsapp zelf opvraagt vind ik in mijn geval de grootste bedreiging en dat wordt door geen enkele encryptie tegengehouden. Tenzij men public key implementeert zonder zelf bij de keys te kunnen, maar daar krijg je als bedrijf geheid last mee (kijk maar naar de problemen die RIM ermee heeft).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
