Beveiliging WhatsApp-berichten toch niet waterdicht

Hoewel WhatsApp berichten steengoed beveiligt wanneer ze in transit zijn tussen toestellen, is het toch mogelijk voor aanvallers om mee te lezen. Problemen met sessie-management liggen aan de basis en zijn niet uniek aan WhatsApp alleen.

WhatsApp is de populairste chat-applicatie ter wereld, met zo’n 1,5 miljard maandelijkse actieve gebruikers wereldwijd. Naast het gebruiksgemak is het de beveiliging van de applicatie die veel mensen aanspreekt. WhatsApp claimt immers dat het chats waterdicht versleutelt met end-to-end encryptie. Het gebruikt daarvoor het open source Signal-protocol, ontwikkeld door encryptiespecialist Open Whisper. Dat protocol zorgt ervoor dat berichten onleesbaar zijn van zodra ze vertrekken op het toestel van de verzender totdat ze aankomen op het toestel van de ontvanger. Beveiligingsonderzoekers smeten zich al met vol enthousiasme op het protocol, dat tot vandaag effectief erg veilig blijkt. Zelfs de provider, in casu WhatsApp, kan niet meelezen met wat er langs zijn servers passeert.

Beperkingen van end-to-end

Toch is de beveiliging van de berichten daarmee niet waterdicht. Dat constateert Talos Intelligence Group, de beveiligingstak van Cisco, na een recent onderzoek. Het probleem ligt niet zozeer exclusief bij WhatsApp zelf, maar eerder bij wat er gebeurt zodra berichten aankomen op een toestel en de perceptie die gebruikers daarbij hebben. WhatsApp pakt net als andere diensten zoals Telegram en Signal uit met de kwaliteit van zijn beveiliging, maar negeert daarbij het feit dat de end-to-end-bescherming is uitgespeeld zodra berichten een endpoint bereiken.

Concreet ontdekte Talos dat hackers chatsessies kunnen hijacken via de desktop-implementatie van WhatsApp. Als ze eerst een endpoint kraken, hebben ze voet aan grond om de nodige sleutels voor desktopsessies van WhatsApp te stelen. Met die sleutels in de hand kunnen ze de desktopsessie van een authentieke gebruiker dupliceren.

Dat duplicaat geeft de hacker toegang tot de berichten en de contacten van het slachtoffer. De crimineel kan berichten sturen uit naam van het slachtoffer, berichten wissen, mensen toevoegen aan groepen en meer.

Waarschuwingen

In theorie is de zogenaamde schaduwsessie niet onzichtbaar voor het slachtoffer. WhatsApp laat om beveiligingsredenen maar één desktopsessie op hetzelfde moment bestaan. Start iemand een tweede sessie op, dan wordt de eerste beëindigd met een dialoogvenster dat aangeeft dat WhatsApp Web op een andere plaats is geopend. Dat laat de gebruiker toe om de sessie terug naar zijn systeem te halen, en dient als waarschuwing dat er iets mis is.

In de praktijk zullen de meeste gebruikers zonder security-achtergrond de melding als een foutje van de app zien en er niet verder bij stilstaan. Bovendien heeft de hacker vrij spel totdat het slachtoffer actie heeft ondernomen, wat lang kan duren als hij of zij niet achter de pc zit.

Omzeilen

Talos ontdekte tot slot dat het zelfs mogelijk is om de sessie-limitatie te omzeilen. Aangezien onze crimineel in theorie al toegang heeft tot de endpoint van het slachtoffer, kan hij dat systeem manipuleren door de netwerkinterface van de gekraakte machine tijdelijk te deactiveren. Zo kan een hacker het sessie-management van WhatsApp te slim af zijn en blijven meelezen via zijn schaduwsessie.

Complexe kwetsbaarheid

De bevindingen van Talos klinken dramatisch, al valt het risico in de praktijk best mee. Voor een succesvolle aanval moeten hackers zich immers eerst toegang verschaffen tot de Mac, Linux- of Windows-pc van het slachtoffer, wat best complex is. Het is natuurlijk perfect mogelijk dat criminelen de nodige functionaliteit in de toekomst zullen inbouwen in veelvoorkomende malware, gezien de populariteit van WhatsApp. De complexiteit van de kwetsbaarheid is dus zeker geen reden om ze te negeren.

Integendeel. Zeker organisaties die vertrouwen op de beveiliging die WhatsApp biedt, moeten zich erg bewust zijn van de risico’s. De beste remedie tegen de aanval is een goede bescherming van de endpoints van gebruikers. Door die dicht te timmeren, kan een hacker niet aan de nodige sleutels om een sessie te dupliceren en doet het probleem zich niet voor.

Iedereen vatbaar

Overstappen naar andere gelijkaardige applicaties biedt geen soelaas. Telegram en Signal zijn onderhevig aan net dezelfde kwetsbaarheid. In tegenstelling tot WhatsApp is hun management van desktopsessies bovendien een stuk vager, waardoor het lang niet meteen duidelijk zal zijn voor een gebruiker dat er een schaduwsessie is geopend.

Tot slot ontdekte Talos dat zelfs sessies op een mobiele telefoon kunnen worden gekaapt, al lijkt die kwetsbaarheid zich vooralsnog te beperkten tot de Telegram-applicatie die in onze contreien een stuk minder populair is. Telegram gebruikt in tegenstelling tot zijn concurrenten geen open source encryptie en bleek in het verleden al meermaals een stuk minder goed beveiligd te zijn dan de open source collega’s.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.