Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Whatsapp bevat mogelijk kwetsbaarheid om berichten mee te lezen

Beveiligingsonderzoeker Tobias Boelter heeft een backdoor gevonden in WhatsApp waarmee het bedrijf versleutelde berichten mogelijk toch kan meelezen. De kwetsbaarheid werd in april 2016 door Boelter aan WhatsApp gemeld, maar volgens eigenaar Facebook is de constatering “verwacht gedrag”.

Beveiligingsonderzoeker Tobias Boelter publiceerde in april vorig jaar al over een door hem gevonden zwakte in de encryptie van WhatsApp. Een artikel van the Guardian maakt duidelijk dat de zwakte nog steeds aanwezig is. Berichten in WhatsApp worden via encryptie versleuteld via een unieke sleutel die tussen gebruikers wordt uitgewisseld. Wanneer een gebruiker echter offline is, kan WhatsApp nieuwe encryptiesleutels genereren. Nog niet afgeleverde berichten worden vervolgens met die nieuwe sleutel alsnog afgeleverd. De ontvanger ontvangt hiervan geen melding terwijl de verzender alleen een melding krijgt als de optie Toon beveiligingsmeldingen aanstaat.

Het is dus mogelijk om nieuwe sleutels af te dwingen voor berichten die al verzonden zijn, maar nog niet ontvangen zijn. Deze sleutels zouden kunnen afgedwongen worden door bijvoorbeeld een inlichtingendienst die het mobiele nummer van de ontvanger ‘spooft’ waarna de nog niet ontvangen berichten meegelezen kunnen worden. De tweestapsverificatie die momenteel in de betáversie voor Android zit, is een waarschijnlijk een oplossing voor het probleem. Het is dan immers niet meer mogelijk om WhatsApp opnieuw op hetzelfde telefoonnummer te activeren zonder dat de zelf ingestelde code wordt ingevoerd. Het spoofen van een nummer heeft dan dus geen zin meer. Tweestapsverificatie moet wel door de gebruiker zelf ingeschakeld worden en is nog niet in de normale versies van de app aanwezig.

WhatsApp heeft tegenover the Guardian verklaard dat de reden dat berichten opnieuw worden verstuurd met een nieuwe sleutel is omdat het bedrijf zeker wilt zijn dat berichten altijd aankomen. Volgens Whatsapp is het wisselen van telefoon of het opnieuw installeren van WhatsApp de meest voorkomende reden van een nieuwe encryptiesleutel. Volgens WhatsApp geeft het bedrijf geen backdoors aan overheidsdiensten om berichten in te zien. 

Bron: The Guardian

Geschreven door: Jeroen Boer op

Category: Nieuws, Security

Tags: Encryptie, Whatsapp, Security

Nieuws headlines

donderdag 09 november

Laatste reactie