Gadgetshowto
De populairste berichten-app ter wereld claimt misschien een ultraveilige vesting te zijn, maar misschien moet er opnieuw over worden nagedacht nadat een kritieke WhatsApp-beveiligingsfout aan het licht is gekomen.
Beveiligingsonderzoekers van de Ruhr Universiteit Bochum, Duitsland, hebben een aantal beveiligingsproblemen ontdekt in versleutelde berichtenapps zoals WhatsApp, Signal en Threema. Het team heeft hun bevindingen deze week onthuld op de Real World Crypto-beveiligingsconferentie woensdag in Zürich. Hoewel alle drie de bovengenoemde apps worden getroffen door een of andere kwetsbaarheid, lijkt degene die WhatsApp treft de meest ernstige.
Volgens de onderzoekers zorgt een inherente ontwerpfout in de chat-app van Facebook ervoor dat iedereen die controle heeft over de WhatsApp-servers nieuwe mensen in privé-groepschats kunnen invoegen zonder toestemming van de beheerder, ondanks beloften van end-to-end-encryptie..
Hoewel elk lid van de groep nog steeds meldingen ontvangt over een nieuw lid dat zich bij de groep voegt, zegt het team van de Ruhr University dat een intelligente hacker die de WhatsApp-servers beheert, een aantal verschillende oplossingen kan gebruiken om detectie te voorkomen of op zijn minst te vertragen..
WhatsApp's reactie
Terwijl WhatsApp de bevindingen van de onderzoekers toegaf, stond een woordvoerder van het bedrijf in een telefonisch gesprek met Wired er nog steeds op dat er meldingen naar elk bestaand lid gaan over elke nieuwkomer in een groep. "We hebben WhatsApp zo gebouwd dat groepsberichten niet naar een verborgen gebruiker kunnen worden gestuurd", aldus een woordvoerder in e-mail over het beveiligingslek van WhatsApp..
Ondertussen verwierp de Chief Security Officer van Facebook Alex Stamos de bevindingen met een openbare tweet.
https://twitter.com/alexstamos/status/951169174688026625
De WhatsApp-beveiligingsfout verklaren
De problemen ontstaan door de mate waarin een potentiële aanvaller misbruik zou kunnen maken van deze WhatsApp-beveiligingslek. Ze kunnen berichten blokkeren van beheerders of andere leden die mogelijk proberen iedereen op de hoogte te stellen van de nieuwkomers, door berichten in de cache op te slaan en vervolgens selectief enkele door te laten. Een gecompromitteerde WhatsApp-server stelt de hacker ook in staat om te beslissen welk bericht naar wie wordt verzonden, ongeacht de beoogde ontvangers.
Het proces wordt een beetje moeilijker in groepen met meerdere beheerders, waar de man-in-the-middle verschillende berichten naar elke beheerder moet sturen om ervoor te zorgen dat ze legitieme deelnemers aan een groep lijken, waardoor het lijkt alsof een andere persoon heeft uitgenodigd hen naar de groep. Wat al even verontrustend is, is de bewering dat de hacker zelfs nadat hij als ongenode gast is opgemerkt, kan voorkomen dat hij uit de groep wordt gezet.
![Een programmeurs-rap [video]](https://gadgetshowto.com/storage/img/images/a-programmers-rap-[video].jpg)
