Onderzoeker waarschuwt voor backdoor in WhatsApp
Een beveiligingsonderzoeker zegt een backdoor in WhatsApp te hebben gevonden waardoor WhatsApp berichten van gebruikers toch kan lezen. Het probleem wordt volgens onderzoeker Tobias Boelter van de universiteit van Californië veroorzaakt door de manier waarop WhatsApp het Signal Protocol implementeert. Dit protocol wordt gebruikt voor de end-to-end-encryptie van berichten.
WhatsApp heeft de mogelijkheid om een nieuwe encryptiesleutel voor offline gebruikers te genereren, zonder dat de afzender of ontvanger van het bericht dit weten, en berichten die nog niet zijn afgeleverd met deze nieuwe sleutel te versleutelen. De ontvanger van de berichten krijgt dit niet te zien, terwijl de afzender alleen wordt gewaarschuwd als hij heeft ingesteld om encryptiewaarschuwingen te ontvangen.
De backdoor zit niet in het Signal Protocol dat WhatsApp gebruikt. De Signal-app, waar gebruikers ook via end-to-end-encryptie met elkaar kunnen communiceren, heeft het probleem niet. Boelter waarschuwde WhatsApp vorig jaar april, maar kreeg van Facebook te horen dat dit "verwacht gedrag" was. "Als WhatsApp door een opsporingsdienst wordt gevraagd om berichten af te staan, dan kan het door de veranderde sleutels toegang geven", aldus de onderzoeker tegenover de Guardian.
WhatsApp wijst in een reactie aan de Britse krant op de instellingen om encryptiewaarschuwingen te ontvangen en stelt dat de maatregel er voor moet zorgen dat berichten niet verloren gaan als gebruikers van telefoon wisselen of WhatsApp opnieuw hebben geïnstalleerd. Of WhatsApp berichten ooit op deze manier heeft benaderd wil het bedrijf niet laten weten.
Reacties (22)
#@^%!*(&^$@!!! Adverteren met: "uw berichten zijn veilig, niemand kan ze zien behalve u" is gewoon oplichting als dit waar is.
Naja, eigenlijk ook wel kunnen verwachten van Facebook. Wat ik nu ook verwacht, en zelfs noodzakelijk vind is dat Whatsapp in alle lijstjes bekend moet gaan staan als "vriendjes NSA", "onbeveiligd" en "valse encryptie", en dat het absoluut niet meer bij het rijtje met veilige chat apps mag staan, waar Signal wel mag staan.
Hulde voor de onderzoeker dat hij dit heeft openbaar gemaakt. De reactie van Facebook "verwacht gedrag" zegt al genoeg.
Vixen
Naja, eigenlijk ook wel kunnen verwachten van Facebook. Wat ik nu ook verwacht, en zelfs noodzakelijk vind is dat Whatsapp in alle lijstjes bekend moet gaan staan als "vriendjes NSA", "onbeveiligd" en "valse encryptie", en dat het absoluut niet meer bij het rijtje met veilige chat apps mag staan, waar Signal wel mag staan.
Hulde voor de onderzoeker dat hij dit heeft openbaar gemaakt. De reactie van Facebook "verwacht gedrag" zegt al genoeg.
Vixen
Dit was te verwachten.
Tot de laatste privacy bastions ook omvallen, omdat men eist dat ze omvallen. Men moet toch die 99% van de mensheid dag en nacht kunnen volgen. Degenen, die zich nog enigszins kunnen beveiligen krijgen een update voor de kiezen of worden anderszins pootje gelicht. Global village kent al uw geheimen al en anders fabriceren we wel iets voor u. We kunnen uw gedrag al in het vooruit analyseren of sturen.
Waan je maar veilig, sheeple! Absoluut dingen, die je niet wil delen, niet digitaal delen. Wat helpt je 1 veilige app op een platform dat cross device al gehackt is? Kom tot de conclusie, die u voor veel narigheid kan beschermen: privacy bestaat niet meer - punt uit.
De trilling van uw aanraakscherm kan u al voor 99,4% identificeren. Hebt u uw camera al afgeplakt?
Tot de laatste privacy bastions ook omvallen, omdat men eist dat ze omvallen. Men moet toch die 99% van de mensheid dag en nacht kunnen volgen. Degenen, die zich nog enigszins kunnen beveiligen krijgen een update voor de kiezen of worden anderszins pootje gelicht. Global village kent al uw geheimen al en anders fabriceren we wel iets voor u. We kunnen uw gedrag al in het vooruit analyseren of sturen.
Waan je maar veilig, sheeple! Absoluut dingen, die je niet wil delen, niet digitaal delen. Wat helpt je 1 veilige app op een platform dat cross device al gehackt is? Kom tot de conclusie, die u voor veel narigheid kan beschermen: privacy bestaat niet meer - punt uit.
De trilling van uw aanraakscherm kan u al voor 99,4% identificeren. Hebt u uw camera al afgeplakt?
Tja, zolang FB eigenaar van de keys zijn, en jij niet, dan is het per definitie lek. Dat er een veilig protocol wordt gebruikt wil niet zeggen dat het veilig geïmplementeerd wordt.
Signal geeft een keurige melding dat keys veranderd zijn van de ontvanger. Dan kun jij bepalen of je dus dit vertrouwd (omdat je weet dat de gebruiker van keys wisselt) of niet. Bij niet vertrouwen, verstuur je geen bericht.
Ge-encrypte communicatie is alleen veilig tussen twee partijen als die twee partijen fysiek sleutels uitwisselen. En dat gebeurt niet, en dus is er een vertrouwensbreuk in de ketting.
Ben ik blij dat ik Whatsapp al tig jaar geleden gedumpt heb....
TheYOSH
Signal geeft een keurige melding dat keys veranderd zijn van de ontvanger. Dan kun jij bepalen of je dus dit vertrouwd (omdat je weet dat de gebruiker van keys wisselt) of niet. Bij niet vertrouwen, verstuur je geen bericht.
Ge-encrypte communicatie is alleen veilig tussen twee partijen als die twee partijen fysiek sleutels uitwisselen. En dat gebeurt niet, en dus is er een vertrouwensbreuk in de ketting.
Ben ik blij dat ik Whatsapp al tig jaar geleden gedumpt heb....
TheYOSH
Door Anoniem:Ge-encrypte communicatie is alleen veilig tussen twee partijen als die twee partijen fysiek sleutels uitwisselen.
Hoeft niet, kijk naar PGP/GPG. Je hoeft alleen maar te melden welk ID jouw public key heeft.Vervolgens kan iedereen jou een encrypted bericht sturen.
13-01-2017, 15:05 door
potshot
Door Anoniem: Tja, zolang FB eigenaar van de keys zijn, en jij niet, dan is het per definitie lek. Dat er een veilig protocol wordt gebruikt wil niet zeggen dat het veilig geïmplementeerd wordt.
Signal geeft een keurige melding dat keys veranderd zijn van de ontvanger. Dan kun jij bepalen of je dus dit vertrouwd (omdat je weet dat de gebruiker van keys wisselt) of niet. Bij niet vertrouwen, verstuur je geen bericht.
Ge-encrypte communicatie is alleen veilig tussen twee partijen als die twee partijen fysiek sleutels uitwisselen. En dat gebeurt niet, en dus is er een vertrouwensbreuk in de ketting.
Ben ik blij dat ik Whatsapp al tig jaar geleden gedumpt heb....
TheYOSH
Signal geeft een keurige melding dat keys veranderd zijn van de ontvanger. Dan kun jij bepalen of je dus dit vertrouwd (omdat je weet dat de gebruiker van keys wisselt) of niet. Bij niet vertrouwen, verstuur je geen bericht.
Ge-encrypte communicatie is alleen veilig tussen twee partijen als die twee partijen fysiek sleutels uitwisselen. En dat gebeurt niet, en dus is er een vertrouwensbreuk in de ketting.
Ben ik blij dat ik Whatsapp al tig jaar geleden gedumpt heb....
TheYOSH
hoe paranoide ben je eigenlijk..denk je nu werkelijk dat de nsa jouw geneuzel wil lezen?
hoe veel nederlanders wachten er eigenlijk op uitlevering omdat ze via whatsapp iets verkeerds zeiden? nou?
lachwekkend hoe bang ze hier voor niks zijn ..
die zich nog enigszins kunnen beveiligen krijgen een update voor de kiezen of worden anderszins pootje gelicht.
Die krijgen de politie aan de deur, want zij zijn verdachten.@TheYOSH
Gij zult dus zeker ook niet van deze dienst gebruik willen maken?
Re: https://cloud.google.com/kms/
Misschien zitten de sleutels al in de Google KeyVault of andere kist?
of zijn ze al door de drie-letter-diensten direct opvraagbaar geworden.
Ik zou me maar niet al te veel illusies maken.
Als iets niet door te spitten of te hacken valt wordt het neergehaald.
Wat dunkt ge dat de achtergrond is van de verkettering van het Rijk van Iwan de Verschrikkelijke en Baba Yaga?
Waarom heeft heel Mainland China een M$ asp net mono-cultuur en een grote clickjacking hole?
Privacy bestaat niet (meer), beste man, in global village en het buitengebied wordt helaas steeds kleiner.
Wij zijn de laatste der Mohikanen aan het worden, wake up, get real, you have lost big time already.
Gij zult dus zeker ook niet van deze dienst gebruik willen maken?
Re: https://cloud.google.com/kms/
Misschien zitten de sleutels al in de Google KeyVault of andere kist?
of zijn ze al door de drie-letter-diensten direct opvraagbaar geworden.
Ik zou me maar niet al te veel illusies maken.
Als iets niet door te spitten of te hacken valt wordt het neergehaald.
Wat dunkt ge dat de achtergrond is van de verkettering van het Rijk van Iwan de Verschrikkelijke en Baba Yaga?
Waarom heeft heel Mainland China een M$ asp net mono-cultuur en een grote clickjacking hole?
Privacy bestaat niet (meer), beste man, in global village en het buitengebied wordt helaas steeds kleiner.
Wij zijn de laatste der Mohikanen aan het worden, wake up, get real, you have lost big time already.
"Nieuws" van bijna een jaar oud en iedereen reageert hier behoorlijk verontwaardigd. Als je zoveel waarde hecht aan je privacy is het je eigen verantwoordelijkheid en moet je niet afwachten tot je op je wenken wordt bediend.
https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/
https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/
@ anoniem van 15:11
Je kunt het ook weglachen tot een keer de situatie verandert. In 1937 kon men zich ook moeilijk een situatie uit 1943 voorstellen. Degenen die waarschuwden toen voor wat komen zou, werden ook weggezet als paniekzaaiers.
Als zich dat herhaalde kon men nu helemaal niet meer wegkruipen, iedereen met een smartphone op zak zou target zijn.
Het gaat er niet om dat je die situatie nog niet hebt, je moet niet willen dat het überhaupt realiteit 'kan' worden.
Wie de digitale vrijheid niet koestert is haar niet waard.
Je kunt het ook weglachen tot een keer de situatie verandert. In 1937 kon men zich ook moeilijk een situatie uit 1943 voorstellen. Degenen die waarschuwden toen voor wat komen zou, werden ook weggezet als paniekzaaiers.
Als zich dat herhaalde kon men nu helemaal niet meer wegkruipen, iedereen met een smartphone op zak zou target zijn.
Het gaat er niet om dat je die situatie nog niet hebt, je moet niet willen dat het überhaupt realiteit 'kan' worden.
Wie de digitale vrijheid niet koestert is haar niet waard.
hoe paranoide ben je eigenlijk..denk je nu werkelijk dat de nsa jouw geneuzel wil lezen?
hoe veel nederlanders wachten er eigenlijk op uitlevering omdat ze via whatsapp iets verkeerds zeiden? nou?
lachwekkend hoe bang ze hier voor niks zijn ..
En hoe kan jij de plank zó radicaal misslaan? hoe veel nederlanders wachten er eigenlijk op uitlevering omdat ze via whatsapp iets verkeerds zeiden? nou?
lachwekkend hoe bang ze hier voor niks zijn ..
Lees de buitgemaakte bestanden van de NSA van Edward Snowden maar eens.
Dan piep je wel anders.
13-01-2017, 15:48 door
Overcome
Door potshot:
hoe paranoide ben je eigenlijk..denk je nu werkelijk dat de nsa jouw geneuzel wil lezen?
hoe veel nederlanders wachten er eigenlijk op uitlevering omdat ze via whatsapp iets verkeerds zeiden? nou?
lachwekkend hoe bang ze hier voor niks zijn ..
Door Anoniem: Tja, zolang FB eigenaar van de keys zijn, en jij niet, dan is het per definitie lek. Dat er een veilig protocol wordt gebruikt wil niet zeggen dat het veilig geïmplementeerd wordt.
Signal geeft een keurige melding dat keys veranderd zijn van de ontvanger. Dan kun jij bepalen of je dus dit vertrouwd (omdat je weet dat de gebruiker van keys wisselt) of niet. Bij niet vertrouwen, verstuur je geen bericht.
Ge-encrypte communicatie is alleen veilig tussen twee partijen als die twee partijen fysiek sleutels uitwisselen. En dat gebeurt niet, en dus is er een vertrouwensbreuk in de ketting.
Ben ik blij dat ik Whatsapp al tig jaar geleden gedumpt heb....
TheYOSH
Signal geeft een keurige melding dat keys veranderd zijn van de ontvanger. Dan kun jij bepalen of je dus dit vertrouwd (omdat je weet dat de gebruiker van keys wisselt) of niet. Bij niet vertrouwen, verstuur je geen bericht.
Ge-encrypte communicatie is alleen veilig tussen twee partijen als die twee partijen fysiek sleutels uitwisselen. En dat gebeurt niet, en dus is er een vertrouwensbreuk in de ketting.
Ben ik blij dat ik Whatsapp al tig jaar geleden gedumpt heb....
TheYOSH
hoe paranoide ben je eigenlijk..denk je nu werkelijk dat de nsa jouw geneuzel wil lezen?
hoe veel nederlanders wachten er eigenlijk op uitlevering omdat ze via whatsapp iets verkeerds zeiden? nou?
lachwekkend hoe bang ze hier voor niks zijn ..
Mijns inziens mis je het punt. Het gaat er niet om dat mensen niet geïnteresseerd zijn in het geneuzel dat via WhatsApp wordt uitgewisseld. WhatsApp adverteert met een dienst die ze niet leveren, en dat neigt naar misleiding. Als je kijkt naar http://www.whatsapp.com/security/, dan staat er letterlijk:
Veel berichtendiensten maken alleen gebruik van encryptie tussen de gebruiker en henzelf, maar WhatsApp gebruikt end-to-end encryptie om ervoor te zorgen dat alleen de verzender en de ontvanger de berichten kunnen lezen. Niemand anders kan de berichten lezen. Zelfs WhatsApp kan dit niet. Je berichten worden beveiligd met een uniek slot waarvan alleen de verzender en de ontvanger de sleutel hebben. Hierdoor zijn de verzender en de ontvanger de enige die het slot kunnen openmaken en het bericht kunnen lezen.
Bewijsbaar onjuist. (En dan citeer ik niet eens alle uitspraken van die pagina die bewijsbaar onjuist zijn.) Als ze daar door een onderzoeker op worden gewezen, dan doen ze het gemakzuchtig af als "feature". Misschien waar, maar wel eentje met nadelige neveneffecten. Ben dan ook eerlijk over de feature en zeg op je security-pagina dat je daardoor mee kunt lezen. Leg ook beter uit wat een mogelijke melding bij de verzender betekent als een encryptiesleutel is gewijzigd. Ik heb die melding meerdere keren in een groepschat langs zien komen, maar had geen idee wat ik er mee aan moest.
Zolang Facebook mee kan kijken, geen openheid geeft over hoe vaak ze een sleutel hebben afgegeven, doelbewust liegen op hun security pagina en dit soort zaken gemakzuchtig terzijde schuift, communiceer ik liever eerst met b.v. Signal en daarna, als het niet anders kan, met WhatsApp. Niet omdat ik wat te verbergen heb, maar omdat ik liever geen zaken doe met bedrijven die niet transparant zijn in zaken die mij als klant aangaan. Ik maak me op dat punt echter ook geen illusies. WhatsApp is gratis, dus het verdienmodel ben ik.
EN kijk, daar komt de voorspelde aap (whats-aap?) weer uit de mouw...
Nouja het valt in ieder geval binnen de resonable expectation die we al hadden van whatsapp.
Matthew D. Green een bekende cryptograaf van een universiteit in Amerika heeft gereageerd. Backdoor is niet het juiste woord en je kan maar 1 bericht afluisteren. Bron: https://twitter.com/matthew_d_green/status/819908233280319488
Maar... https://twitter.com/fredericjacobs/status/819908831828439040.
Het artikel is trouwens weer heerlijk geschreven, man man man.
Maar... https://twitter.com/fredericjacobs/status/819908831828439040.
Het artikel is trouwens weer heerlijk geschreven, man man man.
Het enige wat mij verbaast is de schier oneindige naïviteit en goedgelovigheid van mensen; maar misschien heb ik gemakkelijk praten omdat ik reeds 4 maal fraudeleus ontslagen ben, bij de huisarts nooit enig efficiënte reactie krijg bij (levensbedreigende) klachten, en ondanks belofte van woningcoöperatie(s) ook nog geen fatsoenlijke woning krijg binnen een periode van zo'n 20 jaar ....
Je mantaindrai !
Je mantaindrai !
13-01-2017, 16:59 door
john west
Als je communiceert moet je er van uit gaan ,dat er mee gelezen kan worden.
Maakt niet uit wat je gebruikt.
Computers en de programma's zijn niet privé.
Maakt niet uit wat je gebruikt.
Computers en de programma's zijn niet privé.
Door john west: Als je communiceert moet je er van uit gaan ,dat er mee gelezen kan worden.
Maakt niet uit wat je gebruikt.
Computers en de programma's zijn niet privé.
Maakt niet uit wat je gebruikt.
Computers en de programma's zijn niet privé.
Met Signal weet je zeker dat er niet meegelezen kan worden... Broncode openbaar, door iedereen te auditen, geen backdoors.
Hoe zit het eigenlijk als je whats app gebruikt en je zit al in de vpn,kunnen de berichten die door de vpn tunnel gaan dan ook worden ontcijferd,door de key aan te passen voor whatsapp berichten zoals de onderzoeker heeft ondekt?.
13-01-2017, 19:10 door
karma4
Door Anoniem:
Met Signal weet je zeker dat er niet meegelezen kan worden... Broncode openbaar, door iedereen te auditen, geen backdoors.
Alleen als je dat kleine deel van de alles tussen jouw mond/vingers/gezicht en de andere kant bekijkt. Je weet niet of er andere manieren met sidechannels spiegels keyloggers of wat dan ook mee doen. En weet je zeker dat de broncode geheel correct is tot in de onderlagen van biblitotheken en meer nu dat is wat jij gebruikt."Met Signal weet je zeker dat er niet meegelezen kan worden... Broncode openbaar, door iedereen te auditen, geen backdoors.
"Als je communiceert moet je er van uit gaan ,dat er mee gelezen kan worden. Maakt niet uit wat je gebruikt. "
Dat is altijd zo geweest (lees en wat oude historische romans) en zal altijd wel zo zijn. Eens John
WhatsApp == Facebook
"Op 19 februari 2014 nam het socialemediabedrijf Facebook de diensten van WhatsApp Messenger over voor een bedrag van 19 miljard USD." https://nl.wikipedia.org/wiki/WhatsApp
Enkel de inhoud van het bericht is onzichtbaar, de metadata wordt bewaard.
Voor wie het gegeven nog niet duidelijk was.
"Op 19 februari 2014 nam het socialemediabedrijf Facebook de diensten van WhatsApp Messenger over voor een bedrag van 19 miljard USD." https://nl.wikipedia.org/wiki/WhatsApp
Enkel de inhoud van het bericht is onzichtbaar, de metadata wordt bewaard.
Voor wie het gegeven nog niet duidelijk was.
Ik snap echt niet waar iedereen zich zo druk over maakt. Dit soort MI5 praktijken zijn al zeker sinds 1948 de gebruikelijke gang van zaken. Er is niets nieuws onder de zon. Het concept en het gebruik van public key cryptografie werd ontwikkeld door James H. Ellis en Britise GCHQ wetenschappers in 1969.
Peter Wright Spycatcher (Heinemann, 1987)
https://en.wikipedia.org/wiki/Spycatcher
Peter Wright Spycatcher (Heinemann, 1987)
https://en.wikipedia.org/wiki/Spycatcher
Open Whisper Systems is het er niet mee eens, there is no backdoor in WhatsApp - https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
