Onderzoekers van de Duitse Ruhr-Universiteit Bochum (RUB) hebben ontdekt dat het in theorie mogelijk is voor een aanvaller om zichzelf aan groepschats van Signal en WhatsApp toe te voegen, maar de aanval is zeer lastig uit te voeren, zo laat Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University, in een analyse op zijn blog weten. Volgens Green is er dan ook geen reden voor paniek.

Bij een groepschat genereert elke deelnemer een eigen "groepssleutel" die wordt gebruikt om zijn of haar berichten naar de rest van de groep te versleutelen. Als er een nieuwe deelnemer aan de groepschat wordt toegevoegd sturen alle bestaande leden een kopie van hun groepssleutel naar het nieuwe lid. Deze werkwijze vereenvoudigt de werking van groepschats en zorgt ervoor dat alle berichten nog steeds end-to-end versleuteld zijn.

Onderzoekers van de RUB ontdekten echter dat zowel WhatsApp als Signal "group management messages" niet goed authenticeren. Deze berichten zorgen ervoor dat deelnemers aan de groepschat hun groepssleutel naar de nieuwe deelnemer sturen. Doordat de afzender van deze berichten niet wordt gecontroleerd kan een ongeautoriseerde gebruiker iemand aan de groepschat toevoegen. Het probleem verschilt echter tussen Signal en WhatsApp.

Binnen Signal wordt elke deelnemer aan een groepschat als een beheerder gezien, wat inhoudt dat iedereen een nieuw lid kan toevoegen. Hiervoor moet er een group management message worden verstuurd die het groeps-ID bevat. Signal blijkt echter niet te controleren of dergelijke berichten afkomstig zijn van iemand die al onderdeel van de groepschat is. Daardoor kan een ongeautoriseerde gebruiker een nieuwe gebruiker aan de groepschat toevoegen. Volgens Green is de aanval echter zeer lastig uit te voeren. Het groeps-ID bestaat namelijk uit een willekeurig 128-bits getal en wordt nooit getoond aan personen die geen lid van de groepschat zijn.

In het geval van WhatsApp is de situatie iets erger, zo laat de cryptograaf weten. Bij WhatsApp, in tegenstelling tot Signal, speelt de WhatsApp-server een grote rol in het groepsbeheer, wat inhoudt dat de server bepaalt wie een beheerder is en group management berichten kan versturen. Deze berichten zijn daarnaast niet end-to-end versleuteld of gesigneerd. Ze worden vanaf de WhatsApp-server verstuurd via transportencryptie, maar maken geen gebruik van het Signal-protocol dat voor het versleutelen van de chatberichten wordt gebruikt.

Aangezien de group management berichten niet door de beheerder gesigneerd zijn kan een kwaadaardige WhatsApp-server elke willekeurige gebruiker aan een groepschat toevoegen. "Dit houdt in dat de privacy van je end-to-end versleutelde groepschat alleen wordt gegarandeerd als je de WhatsApp-server vertrouwt", merkt Green op. "Dit ondermijnt het hele doel van end-to-end-encryptie." In het geval van end-to-end-encryptie zouden gebruikers juist niet afhankelijk van het vertrouwen in een server moeten zijn.

Zowel bij Signal als WhatsApp kunnen deelnemers aan een groepschat zien als er iemand wordt toegevoegd of van wie de berichten afkomstig zijn. Tegenover Wired laten de ontwikkelaars van Signal weten dat ze de manier zullen aanpassen waarop er met groepschats wordt omgegaan. Volgens WhatsApp gaat het hier om een theoretisch probleem en krijgen deelnemers daarnaast een visuele melding als er iemand wordt toegevoegd. De kwetsbaarheid voldoet volgens WhatsApp dan ook niet aan de voorwaarden van het beloningsprogramma dat het heeft en waarbij onderzoekers voor het rapporteren van kwetsbaarheden worden beloond.