Er blijkt een serie aan kwetsbaarheden in WhatsApp te zitten, waarmee hackers gesprekken over kunnen nemen. De kwetsbaarheden en drie methodes om ze te misbruiken werden deze week bekendgemaakt door Check Point-onderzoekers Dikla Barda, Roman Zaikin en Oded Vanunu.
De fouten kunnen hackers volgens de onderzoekers in staat stellen om “berichten in privé- en groepsgesprekken te onderscheppen en te manipuleren”, schrijft ZDNet. Aanvallers krijgen daarmee “veel macht om misinformatie te maken en te verspreiden via wat betrouwbare bronnen lijken te zijn”.
De onderzoekers deden de kwetsbaarheden en de exploits tijdens de recente Black Hat-conferentie in Las Vegas uit de doeken. De fouten blijken al een jaar te bestaan, ook al werd WhatsApp hier in 2018 van op de hoogte gesteld.
Volgens Facebook zijn de fouten het gevolg van “limitaties die niet opgelost kunnen worden vanwege hun structuur en architectuur”.
Proof of concept
De onderzoekers hebben een tool gemaakt als proof of concept, om duidelijker te maken wat het probleem is. Ze denken namelijk dat de kwetsbaarheden van “het hoogste belang” zijn en “aandacht vereisen”.
Er blijken drie methodes te zijn om de problemen te misbruiken. Allereerst is door de “quote”-functie in een groepsgesprek te gebruiken. Daarmee kan de identiteit van een verzender aangepast worden, zelfs als die persoon geen deel uitmaakt van het gesprek.
Ook kan een reactie aangepast worden. Tot slot is er een mogelijkheid om een ‘privé’-bericht naar een ander lid van een groepsgesprek te sturen, dat eigenlijk gemaskeerd is als een publiek bericht. Als iemand op dat bericht reageert, kan iedereen in het gesprek de content zien.
Data decrypten
Check Point probeerde bovendien om het algoritme van WhatsApp om te draaien om data en communicatie te decrypten. Het team was in staat om de parameters te zien die verstuurd werden tussen de desktop- en de mobiele versie van het platform. Daardoor konden ze de tool ontwikkelen en de aanvallen uitvoeren.
Facebook heeft het probleem waarbij privé-berichten eigenlijk publieke berichten zijn, inmiddels opgelost. De andere twee fouten lijken echter nog te bestaan.
Vanunu stelt dat de onderzoekers ervoor kozen om de problemen toch naar buiten te brengen, omdat dit een “groot probleem is met nepnieuws en manipulatie”. “Het is een infrastructuur die meer dan 1,5 miljard gebruikers dienst. We kunnen dit niet aan de kant zetten en zeggen: ‘Oké, dit gebeurt niet.’”