Onderzoekers van Check Point Software Technologies waarschuwen nogmaals voor wat ze beschrijven als een gevaarlijke beveiligingszwakte in de WhatsApp-berichtentoepassing die kan worden misbruikt om nepnieuws te verspreiden en verschillende online oplichting uit te voeren.
In een technische presentatie gisteren legden Check Point-onderzoekers Roman Zaikin en Oded Vanunu uit hoe een aanvaller het probleem kon gebruiken om de tekst van het antwoord van iemand anders te wijzigen, de identiteit van een afzender van een bericht te veranderen of een gebruiker ertoe te verleiden iets openbaar te delen in een groep die ze misschien niet van plan waren te delen.
De onderzoekers kwamen in augustus 2018 voor het eerst aan de orde in een rapport dat beschreef hoe aanvallers WhatsApp-berichten konden onderscheppen en manipuleren in privé- en groepchatinstellingen. In een blog en in commentaren op het moment van Dark Reading , identificeerde Vanunu het probleem als te maken hebben met het falen van WhatsApp om bepaalde berichtparameters te valideren alvorens berichten te coderen en naar de beoogde ontvanger te verzenden.
Sindsdien heeft WhatsApp, eigendom van Facebook, het probleem opgelost waardoor aanvallers gebruikers in een groepschat konden misleiden door te denken dat ze iets privé hadden gedeeld terwijl het in feite voor iedereen zichtbaar was, zei hij.
De andere twee problemen blijven echter onomstreden en blijven aanvallers een manier bieden om WhatsApp op gevaarlijke manieren te misbruiken, zei Vanunu. Vanuit het perspectief van Check Point vormen de kwetsbaarheden een grote bedreiging en moeten ze dringend worden aangepakt, merkte hij op.
“WhatsApp is niet alleen een applicatie. Het is een infrastructuur van meer dan 1,5 miljard gebruikers met meer dan 56 miljard berichten per dag,” zei Vanunu.
WhatsApp’s enorme voetafdruk maakt het een groot doelwit voor criminelen die nepnieuws proberen te verspreiden en andere kwaadaardige activiteiten uitvoeren, zei hij. In sommige landen, waaronder India en Brazilië, hebben geruchten verspreid via WhatsApp zelfs geleid tot de dood van onschuldige mensen, zei Vanunu. In veel landen wordt WhatsApp ook gebruikt voor zakelijke toepassingen, dus het is belangrijk dat het probleem wordt opgelost, voegde hij eraan toe.
Volgens Vanunu en Zaikin is de end-to-end-codering van WhatsApp sterk en niet het probleem. Het probleem ligt veeleer in de communicatie tussen de WhatsApp mobiele app van een persoon en zijn webversie wanneer een gebruiker inlogt.
Vanunu en Zaikin hebben de communicatie reverse-ontworpen en hebben verschillende berichtparameters geïdentificeerd die worden uitgewisseld tussen de mobiele versie van WhatsApp en de webversie. Onder hen waren parameters die betrekking hebben op de inhoud van het bericht en die welke de afzender van het bericht en de contactpersoon of de groep identificeerden waarvoor het bericht was bedoeld.
De onderzoekers ontdekten dat ze de communicatie konden onderscheppen en de gegevens konden manipuleren die bij elke parameter horen voordat deze gecodeerd werden. Een aanvaller kan bijvoorbeeld de “quote” -functie in WhatsApp gebruiken die verwijst naar een vorig bericht om de identiteit van de oorspronkelijke afzender te wijzigen of het oorspronkelijke bericht volledig te wijzigen. WhatsApp valideert de gegevens niet en accepteert in plaats daarvan alleen de gewijzigde inhoud, versleutelt deze en stuurt deze door naar de beoogde ontvanger.
WhatsApp heeft niet gereageerd op een verzoek om commentaar. Maar in een verklaring die reageerde op het oorspronkelijke rapport van Check Point vorig jaar, ontkende het bedrijf elk beveiligingsprobleem. Het vergeleek het probleem met iemand die de inhoud van een e-mail wijzigde om woorden in de mond van de afzender te plaatsen.
Veel heeft ook te maken met hoe WhatsApp werkt. WhatsApp heeft opgemerkt dat wanneer iemand op een bericht reageert, de WhatsApp-client de beschikbare tekst in de app kopieert en een soort grafische weergave creëert die mensen helpt het gesprek te volgen. De reden voor het bieden van een soort “snel antwoord” -optie is om de bron in het chatlogboek van de gebruiker te helpen identificeren als die bestaat.
WhatsApp heeft benadrukt dat het met zijn end-to-encryptie geen berichten op zijn eigen servers opslaat en daarom geen enkel referentiepunt heeft voor berichten die zich buiten het apparaat bevinden. Als gevolg hiervan is de enige manier om gegevens in verzonden berichten te valideren, het loggen van alle berichten, wat de privacybescherming zou ondermijnen. Het zou het ook onmogelijk maken om berichten aan groepen te bezorgen wanneer een enkele persoon er niet mee verbonden is en ondermijnt de mogelijkheid voor gebruikers om een bericht te citeren voorafgaand aan een nieuw groepslid, zei WhatsApp.
Lees verder bij de bron: Darkreading
