Onderzoekers van securitybedrijf Check Point hebben een manier gevonden om WhatsApp-berichten te manipuleren, waardoor het lijkt dat iemand iets gezegd heeft zonder dat dit het geval is. In totaal zijn er drie mogelijkheden voor manipulatie, aldus de onderzoekers.
Zo is het mogelijk om in een groepsgesprek de identiteit van de afzender te veranderen, zelfs wanneer deze persoon geen lid van de groep is. Ook kan de tekst van iemands antwoord worden aangepast en kan er een bericht naar iemand in een groep worden gestuurd dat alleen hij ziet. Zodra de ontvanger antwoordt zal dat voor iedereen in de groep zichtbaar zijn.
Om de aanval uit te kunnen voeren moet een aanvaller eerst de privé en publieke sleutels van zijn eigen sessie zien te bemachtigen. Hiervoor hebben de onderzoekers een extensie voor Burp Suite gemaakt, een populaire tool waarmee de veiligheid van webapplicaties is te testen. De tool kan vervolgens worden gebruikt om verkeer van en naar de webversie van WhatsApp te onderscheppen. WhatsApp Web maakt het mogelijk om whatsappjes via de computer te versturen. Hiervoor worden de berichten met die van de smartphone gesynchroniseerd.
Voor deze koppeling genereert WhatsApp Web encryptiesleutels. Tijdens de generatiefase kunnen de sleutels vervolgens worden verkregen, aldus de onderzoekers. "Door de WhatsApp-communicatie te ontsleutelen waren we in staat om de parameters te zien die tussen de mobiele versie van WhatsApp en de webversie worden uitgewisseld. Hierdoor konden we ze manipuleren en naar kwetsbaarheden zoeken", zegt onderzoeker Dikla Barda.
Via het aanpassen van de parameters is het vervolgens mogelijk om berichten te manipuleren, zoals in onderstaande video wordt getoond. Check Point stelt dat het WhatsApp heeft geïnformeerd, maar laat verder niet weten of de problemen ook zijn verholpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.