Nederlandse student: 'Beveiliging van WhatsApp is niet op orde'
De beveiliging van WhatsApp is niet op orde. Een Nederlandse student is erin geslaagd de encryptie van de populaire berichtendienst te kraken. Het gaat om de Nederlandse informaticastudent Thijs Alkemade, die ook ontwikkelaars van het chatprogramma Adium is.
Alkemade schrijft op zijn blog dat de encryptie een aantal fouten bevat, waardoor het voor aanvallers relatief eenvoudig is de inhoud van berichten te achterhalen en berichten te manipuleren. Alkemade heeft een proof-of-concept ontworpen om zijn bevindingen aan te tonen.
Zelfde encryptiesleutel
WhatsApp beveiligt berichten met behulp van de RC4-encryptie. De dienst blijkt echter voor zowel uitgaande als inkomende berichten dezelfde encryptiesleutel te gebruiken. Aanvallers kunnen deze kwetsbaarheid misbruiken om de inhoud van berichten te achterhalen.
WhatsApp gebruikt de keyed-hash message authentication code (HMAC) om te voorkomen dat gebruikers zich kunnen voordoen als een andere gebruikers en dus berichten uit naam van een ander kunnen versturen. Ook hierbij maakt de populaire dienst echter fouten. Ook hierbij wordt voor zowel uitgaande als ingaande berichten dezelfde code gebruikt. Alkemade stelt daarnaast dat de code die voor de RC4-encryptie is gebruikt voor de HMAC opnieuw wordt gebruikt.
