Onderzoekers vinden manier om whatsappjes te manipuleren
Onderzoekers van securitybedrijf Check Point hebben een manier gevonden om WhatsApp-berichten te manipuleren, waardoor het lijkt dat iemand iets gezegd heeft zonder dat dit het geval is. In totaal zijn er drie mogelijkheden voor manipulatie, aldus de onderzoekers.
Zo is het mogelijk om in een groepsgesprek de identiteit van de afzender te veranderen, zelfs wanneer deze persoon geen lid van de groep is. Ook kan de tekst van iemands antwoord worden aangepast en kan er een bericht naar iemand in een groep worden gestuurd dat alleen hij ziet. Zodra de ontvanger antwoordt zal dat voor iedereen in de groep zichtbaar zijn.
Om de aanval uit te kunnen voeren moet een aanvaller eerst de privé en publieke sleutels van zijn eigen sessie zien te bemachtigen. Hiervoor hebben de onderzoekers een extensie voor Burp Suite gemaakt, een populaire tool waarmee de veiligheid van webapplicaties is te testen. De tool kan vervolgens worden gebruikt om verkeer van en naar de webversie van WhatsApp te onderscheppen. WhatsApp Web maakt het mogelijk om whatsappjes via de computer te versturen. Hiervoor worden de berichten met die van de smartphone gesynchroniseerd.
Voor deze koppeling genereert WhatsApp Web encryptiesleutels. Tijdens de generatiefase kunnen de sleutels vervolgens worden verkregen, aldus de onderzoekers. "Door de WhatsApp-communicatie te ontsleutelen waren we in staat om de parameters te zien die tussen de mobiele versie van WhatsApp en de webversie worden uitgewisseld. Hierdoor konden we ze manipuleren en naar kwetsbaarheden zoeken", zegt onderzoeker Dikla Barda.
Via het aanpassen van de parameters is het vervolgens mogelijk om berichten te manipuleren, zoals in onderstaande video wordt getoond. Check Point stelt dat het WhatsApp heeft geïnformeerd, maar laat verder niet weten of de problemen ook zijn verholpen.
De laatste tijd lees je wel vaker van die security onderzoekers die van allerlei lekken zeggen gevonden te hebben die achteraf niet bewezen kunnen worden.
Volgens mij is het Signal protocol zo ontwikkeld dat je lid van een groep moet zijn om berichten te kunnen ontvangen en lezen. Als je geen lid bent kun je ook de groepssleutel niet ontvangen, zelfs als je lid bent geweest krijg je de groepssleutel niet voorbij. Ik ben benieuwd hoe Moxie hierop zal gaan reageren.
De laatste tijd lees je wel vaker van die security onderzoekers die van allerlei lekken zeggen gevonden te hebben die achteraf niet bewezen kunnen worden.
Volgens mij is het Signal protocol zo ontwikkeld dat je lid van een groep moet zijn om berichten te kunnen ontvangen en lezen. Als je geen lid bent kun je ook de groepssleutel niet ontvangen, zelfs als je lid bent geweest krijg je de groepssleutel niet voorbij. Ik ben benieuwd hoe Moxie hierop zal gaan reageren.
Nee, dit is legit. Als je zelf de burp extentie gedownload had dan had je dat zelf ook kunnen testen?
De laatste tijd lees je wel vaker van die security onderzoekers die van allerlei lekken zeggen gevonden te hebben die achteraf niet bewezen kunnen worden.
Volgens mij is het Signal protocol zo ontwikkeld dat je lid van een groep moet zijn om berichten te kunnen ontvangen en lezen. Als je geen lid bent kun je ook de groepssleutel niet ontvangen, zelfs als je lid bent geweest krijg je de groepssleutel niet voorbij. Ik ben benieuwd hoe Moxie hierop zal gaan reageren.
Dit is gewoon het intercepten van een POST en daarin de tekst wijzigen, niets bijzonders. Wel leuk gevonden.
Dit is gewoon het intercepten van een POST en daarin de tekst wijzigen, niets bijzonders. Wel leuk gevonden.
Nee, dit gaat verder dan dat. Als je even de moeite neemt om de website door te lezen, dan zul je zien dat er heel veel verschillende toepassingen beschreven staan waarbij het bijvoorbeeld mogelijk is een bericht in een groepsapp te plaatsen die maar door 1 persoon gezien kan worden
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
