WhatsApp zeer slecht beveiligd

De populaire WhatsApp applicatie blijft onder vuur liggen om de gebrekkige beveiliging. Pas kort geleden is WhatsApp gestart met versleuteling van chatberichten, en nu blijkt dat de authenticatie van gebruikers zeer zwak is. Hierdoor is het mogelijk om chatberichten van anderen af te luisteren, en zelfs berichten namens andere gebruikers te versturen. Als een aanvaller berichten verstuurd, zijn de verzonden berichten en antwoorden niet zichtbaar voor het slachtoffer.

Voor het versturen van berichten worden inloggegevens verzonden van de app naar de WhatsApp servers. De gebruikers-ID is een samenvoeging van de landcode en het mobiele nummer. Bij het afluisteren van het WiFi-verkeer met een sniffer zoals WireShark zijn iPhones en iPads goed te herkennen aan hun naam, waardoor via een zoekopdracht op internet of social engineering het mobiele nummer kan worden achterhaald.

Onderzoeker Sam Granger heeft ontdekt dat WhatsApp op Android toestellen wachtwoord gebruikt dat bestaat uit een MD5-hash van het omgekeerde IMEI-nummer van de telefoon:

md5(strrev(‘IMEI-nummer’))

Als een aanvaller fysieke toegang heeft tot de telefoon kan hij door het intoetsten van *#06# direct het IMEI-nummer aflezen. Hiermee kan hij eenvoudig het wachtwoord berekenen.

iOS geeft apps geen toegang tot het IMEI nummer. Onderzoeker Ezio Amadio heeft ontdekt dat WhatsApp op de iPhone en iPad tweemaal het MAC-adres van de WiFi-interface (en0) gebruikt als basis voor de MD5 hash:

md5(AA:BB:CC:DD:EE:FFAA:BB:CC:DD:EE:FF)

Ook het MAC-adres van iPhones en iPads is eenvoudig te achterhalen door gebruik te maken van tools als WireShark. Hierna hoeft een aanvaller alleen een MD5-hash te berekenen om het wachtwoord te bemachtigen.

Op GitHub is door Venomous0x een Proof of Concept script geplaatst waarmee de zwakheden zijn aangetoond.

Als een account is gehacked is verder misbruik niet te voorkomen. Het is op dit moment niet mogelijk voor gebruikers van WhatsApp om het wachtwoord te veranderen.

Aanmelden voor onze nieuwsbrief