image

Onderzoekers vinden manier om whatsappjes te manipuleren

woensdag 8 augustus 2018, 13:30 door Redactie, 4 reacties

Onderzoekers van securitybedrijf Check Point hebben een manier gevonden om WhatsApp-berichten te manipuleren, waardoor het lijkt dat iemand iets gezegd heeft zonder dat dit het geval is. In totaal zijn er drie mogelijkheden voor manipulatie, aldus de onderzoekers.

Zo is het mogelijk om in een groepsgesprek de identiteit van de afzender te veranderen, zelfs wanneer deze persoon geen lid van de groep is. Ook kan de tekst van iemands antwoord worden aangepast en kan er een bericht naar iemand in een groep worden gestuurd dat alleen hij ziet. Zodra de ontvanger antwoordt zal dat voor iedereen in de groep zichtbaar zijn.

Om de aanval uit te kunnen voeren moet een aanvaller eerst de privé en publieke sleutels van zijn eigen sessie zien te bemachtigen. Hiervoor hebben de onderzoekers een extensie voor Burp Suite gemaakt, een populaire tool waarmee de veiligheid van webapplicaties is te testen. De tool kan vervolgens worden gebruikt om verkeer van en naar de webversie van WhatsApp te onderscheppen. WhatsApp Web maakt het mogelijk om whatsappjes via de computer te versturen. Hiervoor worden de berichten met die van de smartphone gesynchroniseerd.

Voor deze koppeling genereert WhatsApp Web encryptiesleutels. Tijdens de generatiefase kunnen de sleutels vervolgens worden verkregen, aldus de onderzoekers. "Door de WhatsApp-communicatie te ontsleutelen waren we in staat om de parameters te zien die tussen de mobiele versie van WhatsApp en de webversie worden uitgewisseld. Hierdoor konden we ze manipuleren en naar kwetsbaarheden zoeken", zegt onderzoeker Dikla Barda.

Via het aanpassen van de parameters is het vervolgens mogelijk om berichten te manipuleren, zoals in onderstaande video wordt getoond. Check Point stelt dat het WhatsApp heeft geïnformeerd, maar laat verder niet weten of de problemen ook zijn verholpen.

Image

Reacties (4)
08-08-2018, 14:51 door Anoniem
Volgens mij is dit weer zo'n fake verhaal gebaseerd op aannames en zijn ze er niet in geslaagd om het echt te misbruiken. Iedereen kan zo'n video in elkaar klussen want het zijn alleen maar animaties. Ik zou het eerder geloven als dit duidelijk zichtbaar op diverse telefoons wordt uitgevoerd, in real time met live publiek.
De laatste tijd lees je wel vaker van die security onderzoekers die van allerlei lekken zeggen gevonden te hebben die achteraf niet bewezen kunnen worden.
Volgens mij is het Signal protocol zo ontwikkeld dat je lid van een groep moet zijn om berichten te kunnen ontvangen en lezen. Als je geen lid bent kun je ook de groepssleutel niet ontvangen, zelfs als je lid bent geweest krijg je de groepssleutel niet voorbij. Ik ben benieuwd hoe Moxie hierop zal gaan reageren.
08-08-2018, 16:32 door Anoniem
Door Anoniem: Volgens mij is dit weer zo'n fake verhaal gebaseerd op aannames en zijn ze er niet in geslaagd om het echt te misbruiken. Iedereen kan zo'n video in elkaar klussen want het zijn alleen maar animaties. Ik zou het eerder geloven als dit duidelijk zichtbaar op diverse telefoons wordt uitgevoerd, in real time met live publiek.
De laatste tijd lees je wel vaker van die security onderzoekers die van allerlei lekken zeggen gevonden te hebben die achteraf niet bewezen kunnen worden.
Volgens mij is het Signal protocol zo ontwikkeld dat je lid van een groep moet zijn om berichten te kunnen ontvangen en lezen. Als je geen lid bent kun je ook de groepssleutel niet ontvangen, zelfs als je lid bent geweest krijg je de groepssleutel niet voorbij. Ik ben benieuwd hoe Moxie hierop zal gaan reageren.

Nee, dit is legit. Als je zelf de burp extentie gedownload had dan had je dat zelf ook kunnen testen?
08-08-2018, 23:39 door Anoniem
Door Anoniem: Volgens mij is dit weer zo'n fake verhaal gebaseerd op aannames en zijn ze er niet in geslaagd om het echt te misbruiken. Iedereen kan zo'n video in elkaar klussen want het zijn alleen maar animaties. Ik zou het eerder geloven als dit duidelijk zichtbaar op diverse telefoons wordt uitgevoerd, in real time met live publiek.
De laatste tijd lees je wel vaker van die security onderzoekers die van allerlei lekken zeggen gevonden te hebben die achteraf niet bewezen kunnen worden.
Volgens mij is het Signal protocol zo ontwikkeld dat je lid van een groep moet zijn om berichten te kunnen ontvangen en lezen. Als je geen lid bent kun je ook de groepssleutel niet ontvangen, zelfs als je lid bent geweest krijg je de groepssleutel niet voorbij. Ik ben benieuwd hoe Moxie hierop zal gaan reageren.

Dit is gewoon het intercepten van een POST en daarin de tekst wijzigen, niets bijzonders. Wel leuk gevonden.
10-08-2018, 14:53 door Anoniem
Door Anoniem:

Dit is gewoon het intercepten van een POST en daarin de tekst wijzigen, niets bijzonders. Wel leuk gevonden.

Nee, dit gaat verder dan dat. Als je even de moeite neemt om de website door te lezen, dan zul je zien dat er heel veel verschillende toepassingen beschreven staan waarbij het bijvoorbeeld mogelijk is een bericht in een groepsapp te plaatsen die maar door 1 persoon gezien kan worden
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.