image

Onderzoeker waarschuwt voor backdoor in WhatsApp

vrijdag 13 januari 2017, 13:58 door Redactie, 22 reacties

Een beveiligingsonderzoeker zegt een backdoor in WhatsApp te hebben gevonden waardoor WhatsApp berichten van gebruikers toch kan lezen. Het probleem wordt volgens onderzoeker Tobias Boelter van de universiteit van Californië veroorzaakt door de manier waarop WhatsApp het Signal Protocol implementeert. Dit protocol wordt gebruikt voor de end-to-end-encryptie van berichten.

WhatsApp heeft de mogelijkheid om een nieuwe encryptiesleutel voor offline gebruikers te genereren, zonder dat de afzender of ontvanger van het bericht dit weten, en berichten die nog niet zijn afgeleverd met deze nieuwe sleutel te versleutelen. De ontvanger van de berichten krijgt dit niet te zien, terwijl de afzender alleen wordt gewaarschuwd als hij heeft ingesteld om encryptiewaarschuwingen te ontvangen.

De backdoor zit niet in het Signal Protocol dat WhatsApp gebruikt. De Signal-app, waar gebruikers ook via end-to-end-encryptie met elkaar kunnen communiceren, heeft het probleem niet. Boelter waarschuwde WhatsApp vorig jaar april, maar kreeg van Facebook te horen dat dit "verwacht gedrag" was. "Als WhatsApp door een opsporingsdienst wordt gevraagd om berichten af te staan, dan kan het door de veranderde sleutels toegang geven", aldus de onderzoeker tegenover de Guardian.

WhatsApp wijst in een reactie aan de Britse krant op de instellingen om encryptiewaarschuwingen te ontvangen en stelt dat de maatregel er voor moet zorgen dat berichten niet verloren gaan als gebruikers van telefoon wisselen of WhatsApp opnieuw hebben geïnstalleerd. Of WhatsApp berichten ooit op deze manier heeft benaderd wil het bedrijf niet laten weten.

Reacties (22)
13-01-2017, 14:08 door Vixen - Bijgewerkt: 13-01-2017, 14:28
#@^%!*(&^$@!!! Adverteren met: "uw berichten zijn veilig, niemand kan ze zien behalve u" is gewoon oplichting als dit waar is.

Naja, eigenlijk ook wel kunnen verwachten van Facebook. Wat ik nu ook verwacht, en zelfs noodzakelijk vind is dat Whatsapp in alle lijstjes bekend moet gaan staan als "vriendjes NSA", "onbeveiligd" en "valse encryptie", en dat het absoluut niet meer bij het rijtje met veilige chat apps mag staan, waar Signal wel mag staan.

Hulde voor de onderzoeker dat hij dit heeft openbaar gemaakt. De reactie van Facebook "verwacht gedrag" zegt al genoeg.

Vixen
13-01-2017, 14:24 door Anoniem
Dit was te verwachten.

Tot de laatste privacy bastions ook omvallen, omdat men eist dat ze omvallen. Men moet toch die 99% van de mensheid dag en nacht kunnen volgen. Degenen, die zich nog enigszins kunnen beveiligen krijgen een update voor de kiezen of worden anderszins pootje gelicht. Global village kent al uw geheimen al en anders fabriceren we wel iets voor u. We kunnen uw gedrag al in het vooruit analyseren of sturen.

Waan je maar veilig, sheeple! Absoluut dingen, die je niet wil delen, niet digitaal delen. Wat helpt je 1 veilige app op een platform dat cross device al gehackt is? Kom tot de conclusie, die u voor veel narigheid kan beschermen: privacy bestaat niet meer - punt uit.

De trilling van uw aanraakscherm kan u al voor 99,4% identificeren. Hebt u uw camera al afgeplakt?
13-01-2017, 14:29 door Anoniem
Tja, zolang FB eigenaar van de keys zijn, en jij niet, dan is het per definitie lek. Dat er een veilig protocol wordt gebruikt wil niet zeggen dat het veilig geïmplementeerd wordt.

Signal geeft een keurige melding dat keys veranderd zijn van de ontvanger. Dan kun jij bepalen of je dus dit vertrouwd (omdat je weet dat de gebruiker van keys wisselt) of niet. Bij niet vertrouwen, verstuur je geen bericht.

Ge-encrypte communicatie is alleen veilig tussen twee partijen als die twee partijen fysiek sleutels uitwisselen. En dat gebeurt niet, en dus is er een vertrouwensbreuk in de ketting.

Ben ik blij dat ik Whatsapp al tig jaar geleden gedumpt heb....

TheYOSH
13-01-2017, 14:55 door Anoniem
Door Anoniem:Ge-encrypte communicatie is alleen veilig tussen twee partijen als die twee partijen fysiek sleutels uitwisselen.
Hoeft niet, kijk naar PGP/GPG. Je hoeft alleen maar te melden welk ID jouw public key heeft.
Vervolgens kan iedereen jou een encrypted bericht sturen.
13-01-2017, 15:05 door potshot
Door Anoniem: Tja, zolang FB eigenaar van de keys zijn, en jij niet, dan is het per definitie lek. Dat er een veilig protocol wordt gebruikt wil niet zeggen dat het veilig geïmplementeerd wordt.

Signal geeft een keurige melding dat keys veranderd zijn van de ontvanger. Dan kun jij bepalen of je dus dit vertrouwd (omdat je weet dat de gebruiker van keys wisselt) of niet. Bij niet vertrouwen, verstuur je geen bericht.

Ge-encrypte communicatie is alleen veilig tussen twee partijen als die twee partijen fysiek sleutels uitwisselen. En dat gebeurt niet, en dus is er een vertrouwensbreuk in de ketting.

Ben ik blij dat ik Whatsapp al tig jaar geleden gedumpt heb....

TheYOSH

hoe paranoide ben je eigenlijk..denk je nu werkelijk dat de nsa jouw geneuzel wil lezen?
hoe veel nederlanders wachten er eigenlijk op uitlevering omdat ze via whatsapp iets verkeerds zeiden? nou?
lachwekkend hoe bang ze hier voor niks zijn ..
13-01-2017, 15:11 door Anoniem
die zich nog enigszins kunnen beveiligen krijgen een update voor de kiezen of worden anderszins pootje gelicht.
Die krijgen de politie aan de deur, want zij zijn verdachten.
13-01-2017, 15:12 door Anoniem
@TheYOSH

Gij zult dus zeker ook niet van deze dienst gebruik willen maken?
Re: https://cloud.google.com/kms/
Misschien zitten de sleutels al in de Google KeyVault of andere kist?
of zijn ze al door de drie-letter-diensten direct opvraagbaar geworden.

Ik zou me maar niet al te veel illusies maken.
Als iets niet door te spitten of te hacken valt wordt het neergehaald.

Wat dunkt ge dat de achtergrond is van de verkettering van het Rijk van Iwan de Verschrikkelijke en Baba Yaga?

Waarom heeft heel Mainland China een M$ asp net mono-cultuur en een grote clickjacking hole?

Privacy bestaat niet (meer), beste man, in global village en het buitengebied wordt helaas steeds kleiner.
Wij zijn de laatste der Mohikanen aan het worden, wake up, get real, you have lost big time already.
13-01-2017, 15:25 door Anoniem
"Nieuws" van bijna een jaar oud en iedereen reageert hier behoorlijk verontwaardigd. Als je zoveel waarde hecht aan je privacy is het je eigen verantwoordelijkheid en moet je niet afwachten tot je op je wenken wordt bediend.

https://tobi.rocks/2016/04/whats-app-retransmission-vulnerability/
13-01-2017, 15:27 door Anoniem
@ anoniem van 15:11

Je kunt het ook weglachen tot een keer de situatie verandert. In 1937 kon men zich ook moeilijk een situatie uit 1943 voorstellen. Degenen die waarschuwden toen voor wat komen zou, werden ook weggezet als paniekzaaiers.

Als zich dat herhaalde kon men nu helemaal niet meer wegkruipen, iedereen met een smartphone op zak zou target zijn.

Het gaat er niet om dat je die situatie nog niet hebt, je moet niet willen dat het überhaupt realiteit 'kan' worden.
Wie de digitale vrijheid niet koestert is haar niet waard.
13-01-2017, 15:32 door Anoniem
hoe paranoide ben je eigenlijk..denk je nu werkelijk dat de nsa jouw geneuzel wil lezen?
hoe veel nederlanders wachten er eigenlijk op uitlevering omdat ze via whatsapp iets verkeerds zeiden? nou?
lachwekkend hoe bang ze hier voor niks zijn ..
En hoe kan jij de plank zó radicaal misslaan?
Lees de buitgemaakte bestanden van de NSA van Edward Snowden maar eens.
Dan piep je wel anders.
13-01-2017, 15:48 door Overcome
Door potshot:
Door Anoniem: Tja, zolang FB eigenaar van de keys zijn, en jij niet, dan is het per definitie lek. Dat er een veilig protocol wordt gebruikt wil niet zeggen dat het veilig geïmplementeerd wordt.

Signal geeft een keurige melding dat keys veranderd zijn van de ontvanger. Dan kun jij bepalen of je dus dit vertrouwd (omdat je weet dat de gebruiker van keys wisselt) of niet. Bij niet vertrouwen, verstuur je geen bericht.

Ge-encrypte communicatie is alleen veilig tussen twee partijen als die twee partijen fysiek sleutels uitwisselen. En dat gebeurt niet, en dus is er een vertrouwensbreuk in de ketting.

Ben ik blij dat ik Whatsapp al tig jaar geleden gedumpt heb....

TheYOSH

hoe paranoide ben je eigenlijk..denk je nu werkelijk dat de nsa jouw geneuzel wil lezen?
hoe veel nederlanders wachten er eigenlijk op uitlevering omdat ze via whatsapp iets verkeerds zeiden? nou?
lachwekkend hoe bang ze hier voor niks zijn ..

Mijns inziens mis je het punt. Het gaat er niet om dat mensen niet geïnteresseerd zijn in het geneuzel dat via WhatsApp wordt uitgewisseld. WhatsApp adverteert met een dienst die ze niet leveren, en dat neigt naar misleiding. Als je kijkt naar http://www.whatsapp.com/security/, dan staat er letterlijk:

Veel berichtendiensten maken alleen gebruik van encryptie tussen de gebruiker en henzelf, maar WhatsApp gebruikt end-to-end encryptie om ervoor te zorgen dat alleen de verzender en de ontvanger de berichten kunnen lezen. Niemand anders kan de berichten lezen. Zelfs WhatsApp kan dit niet. Je berichten worden beveiligd met een uniek slot waarvan alleen de verzender en de ontvanger de sleutel hebben. Hierdoor zijn de verzender en de ontvanger de enige die het slot kunnen openmaken en het bericht kunnen lezen.

Bewijsbaar onjuist. (En dan citeer ik niet eens alle uitspraken van die pagina die bewijsbaar onjuist zijn.) Als ze daar door een onderzoeker op worden gewezen, dan doen ze het gemakzuchtig af als "feature". Misschien waar, maar wel eentje met nadelige neveneffecten. Ben dan ook eerlijk over de feature en zeg op je security-pagina dat je daardoor mee kunt lezen. Leg ook beter uit wat een mogelijke melding bij de verzender betekent als een encryptiesleutel is gewijzigd. Ik heb die melding meerdere keren in een groepschat langs zien komen, maar had geen idee wat ik er mee aan moest.

Zolang Facebook mee kan kijken, geen openheid geeft over hoe vaak ze een sleutel hebben afgegeven, doelbewust liegen op hun security pagina en dit soort zaken gemakzuchtig terzijde schuift, communiceer ik liever eerst met b.v. Signal en daarna, als het niet anders kan, met WhatsApp. Niet omdat ik wat te verbergen heb, maar omdat ik liever geen zaken doe met bedrijven die niet transparant zijn in zaken die mij als klant aangaan. Ik maak me op dat punt echter ook geen illusies. WhatsApp is gratis, dus het verdienmodel ben ik.
13-01-2017, 16:02 door Anoniem
EN kijk, daar komt de voorspelde aap (whats-aap?) weer uit de mouw...
13-01-2017, 16:15 door Anoniem
Nouja het valt in ieder geval binnen de resonable expectation die we al hadden van whatsapp.
13-01-2017, 16:21 door Anoniem
Matthew D. Green een bekende cryptograaf van een universiteit in Amerika heeft gereageerd. Backdoor is niet het juiste woord en je kan maar 1 bericht afluisteren. Bron: https://twitter.com/matthew_d_green/status/819908233280319488

Maar... https://twitter.com/fredericjacobs/status/819908831828439040.

Het artikel is trouwens weer heerlijk geschreven, man man man.
13-01-2017, 16:49 door Anoniem
Het enige wat mij verbaast is de schier oneindige naïviteit en goedgelovigheid van mensen; maar misschien heb ik gemakkelijk praten omdat ik reeds 4 maal fraudeleus ontslagen ben, bij de huisarts nooit enig efficiënte reactie krijg bij (levensbedreigende) klachten, en ondanks belofte van woningcoöperatie(s) ook nog geen fatsoenlijke woning krijg binnen een periode van zo'n 20 jaar ....

Je mantaindrai !
13-01-2017, 16:59 door john west
Als je communiceert moet je er van uit gaan ,dat er mee gelezen kan worden.
Maakt niet uit wat je gebruikt.
Computers en de programma's zijn niet privé.
13-01-2017, 17:17 door Anoniem
Door john west: Als je communiceert moet je er van uit gaan ,dat er mee gelezen kan worden.
Maakt niet uit wat je gebruikt.
Computers en de programma's zijn niet privé.

Met Signal weet je zeker dat er niet meegelezen kan worden... Broncode openbaar, door iedereen te auditen, geen backdoors.
13-01-2017, 18:59 door Anoniem
Hoe zit het eigenlijk als je whats app gebruikt en je zit al in de vpn,kunnen de berichten die door de vpn tunnel gaan dan ook worden ontcijferd,door de key aan te passen voor whatsapp berichten zoals de onderzoeker heeft ondekt?.
13-01-2017, 19:10 door karma4
Door Anoniem:
Met Signal weet je zeker dat er niet meegelezen kan worden... Broncode openbaar, door iedereen te auditen, geen backdoors.
Alleen als je dat kleine deel van de alles tussen jouw mond/vingers/gezicht en de andere kant bekijkt. Je weet niet of er andere manieren met sidechannels spiegels keyloggers of wat dan ook mee doen. En weet je zeker dat de broncode geheel correct is tot in de onderlagen van biblitotheken en meer nu dat is wat jij gebruikt."

"Als je communiceert moet je er van uit gaan ,dat er mee gelezen kan worden. Maakt niet uit wat je gebruikt. "
Dat is altijd zo geweest (lees en wat oude historische romans) en zal altijd wel zo zijn. Eens John
13-01-2017, 21:17 door Anoniem
WhatsApp == Facebook

"Op 19 februari 2014 nam het socialemediabedrijf Facebook de diensten van WhatsApp Messenger over voor een bedrag van 19 miljard USD." https://nl.wikipedia.org/wiki/WhatsApp

Enkel de inhoud van het bericht is onzichtbaar, de metadata wordt bewaard.

Voor wie het gegeven nog niet duidelijk was.
13-01-2017, 21:35 door Anoniem
Ik snap echt niet waar iedereen zich zo druk over maakt. Dit soort MI5 praktijken zijn al zeker sinds 1948 de gebruikelijke gang van zaken. Er is niets nieuws onder de zon. Het concept en het gebruik van public key cryptografie werd ontwikkeld door James H. Ellis en Britise GCHQ wetenschappers in 1969.

Peter Wright Spycatcher (Heinemann, 1987)
https://en.wikipedia.org/wiki/Spycatcher
14-01-2017, 00:01 door Vixen - Bijgewerkt: 14-01-2017, 00:01
Open Whisper Systems is het er niet mee eens, there is no backdoor in WhatsApp - https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.