Test

Dit is een popup

Lek in WhatsApp legt chatgeschiedenis bloot

Een beveiligingslek in WhatsApp zorgt ervoor dat elke Android-applicatie met toegang tot de SD-kaart je chatberichten kan lezen en uploaden.

Bijna elke Android-applicatie kan theoretisch toegang krijgen tot je chatgeschiedenis in WhatsApp.

Het enige wat een app daarvoor hoeft te doen is lees- en schrijftoegang verkrijgen tot de SD-kaart van een telefoon. Niet zo moeilijk, aangezien de meeste gebruikers die toestemming zullen geven zonder na te denken.

[related_article id=”158578″]

Geen degelijke codering
De oorzaak van het beveiligingsprobleem ligt zowel bij WhatsApp als bij Android. WhatsApp slaat de database met chatgeschiedenis op je SD-kaart op zonder het bestand degelijk te coderen. Decoderen is een fluitje van een cent, aldus Bas Bosschert, de Nederlandse consultant die het lek blootlegde. Oudere versies van het populaire chatprogramma codeerden de database zelfs totaal niet.

Android hanteert van zijn kant een alles-of-nietsbeleid. Ofwel krijgt een app volledige toegang tot de SD-kaart, of wel totaal geen. Dat wil zeggen dat elke applicatie met toegang tot het externe geheugen meteen aan alle bestanden daarop kan. Een schril contrast met het besloten beleid van Apple, waar een app in een soort van quarantaine draait.

Voor ontwikkelaars is die functionaliteit hemels, zij kunnen daardoor erg uitgebreide software ontwikkelen. De keerzijde van de medaille is natuurlijk dat slecht gecodeerde en beschermde data zomaar gelezen of geüpload kunnen worden door een onbetrouwbare app.

Hoe je een database steelt
Bosschert demonstreert op zijn blog hoe eenvoudig het is om enkele lijntjes code in een spel te verbergen. De code kan zonder problemen de WhatsApp-database uploaden naar een externe server terwijl de telefoongebruiker een normaal laadscherm krijgt voorgeschoteld. Steek zo’n code in een Flappy Bird-kloon en je kan gegarandeerd heel wat chatlogs bemachtigen.

Als je vreesde dat Facebook WhatsApp kocht om je berichten te lezen kan je dus gerust zijn. Het lek bestaat al een hele tijd, dus Mark Zuckerberg kon al ruim een jaar meelezen indien hij wilde.

 

Update 15.45 uur:

Intussen heeft WhatsApp gereageerd op de claims van Bas Bosschert. Volgens het bedrijf is er geen probleem met de beveiliging van WhatsApp zolang de gebruiker zelf geen malware of virussen installeert. “Onder normale omstandigheden zijn de data op het externe geheugen niet blootgesteld”, aldus een woordvoerder. Het bedrijf benadrukt dat een gebruiker zelf een onbetrouwbare app moet downloaden alvorens er een beveiligingsrisico ontstaat.

Een nieuwe update moet de gebruikers die toch iets gevaarlijks downloaden en installeren verder beschermen. Maar volgens Bosschert lost de update het probleem niet op. Feit is wel dat wie zich beperkt tot populaire apps van gerespecteerde ontwikkelaars waarschijnlijk niet echt een risico loopt.

Bijna elke Android-applicatie kan theoretisch toegang krijgen tot je chatgeschiedenis in WhatsApp.

Het enige wat een app daarvoor hoeft te doen is lees- en schrijftoegang verkrijgen tot de SD-kaart van een telefoon. Niet zo moeilijk, aangezien de meeste gebruikers die toestemming zullen geven zonder na te denken.

[related_article id=”158578″]

Geen degelijke codering
De oorzaak van het beveiligingsprobleem ligt zowel bij WhatsApp als bij Android. WhatsApp slaat de database met chatgeschiedenis op je SD-kaart op zonder het bestand degelijk te coderen. Decoderen is een fluitje van een cent, aldus Bas Bosschert, de Nederlandse consultant die het lek blootlegde. Oudere versies van het populaire chatprogramma codeerden de database zelfs totaal niet.

Android hanteert van zijn kant een alles-of-nietsbeleid. Ofwel krijgt een app volledige toegang tot de SD-kaart, of wel totaal geen. Dat wil zeggen dat elke applicatie met toegang tot het externe geheugen meteen aan alle bestanden daarop kan. Een schril contrast met het besloten beleid van Apple, waar een app in een soort van quarantaine draait.

Voor ontwikkelaars is die functionaliteit hemels, zij kunnen daardoor erg uitgebreide software ontwikkelen. De keerzijde van de medaille is natuurlijk dat slecht gecodeerde en beschermde data zomaar gelezen of geüpload kunnen worden door een onbetrouwbare app.

Hoe je een database steelt
Bosschert demonstreert op zijn blog hoe eenvoudig het is om enkele lijntjes code in een spel te verbergen. De code kan zonder problemen de WhatsApp-database uploaden naar een externe server terwijl de telefoongebruiker een normaal laadscherm krijgt voorgeschoteld. Steek zo’n code in een Flappy Bird-kloon en je kan gegarandeerd heel wat chatlogs bemachtigen.

Als je vreesde dat Facebook WhatsApp kocht om je berichten te lezen kan je dus gerust zijn. Het lek bestaat al een hele tijd, dus Mark Zuckerberg kon al ruim een jaar meelezen indien hij wilde.

 

Update 15.45 uur:

Intussen heeft WhatsApp gereageerd op de claims van Bas Bosschert. Volgens het bedrijf is er geen probleem met de beveiliging van WhatsApp zolang de gebruiker zelf geen malware of virussen installeert. “Onder normale omstandigheden zijn de data op het externe geheugen niet blootgesteld”, aldus een woordvoerder. Het bedrijf benadrukt dat een gebruiker zelf een onbetrouwbare app moet downloaden alvorens er een beveiligingsrisico ontstaat.

Een nieuwe update moet de gebruikers die toch iets gevaarlijks downloaden en installeren verder beschermen. Maar volgens Bosschert lost de update het probleem niet op. Feit is wel dat wie zich beperkt tot populaire apps van gerespecteerde ontwikkelaars waarschijnlijk niet echt een risico loopt.

AndroidappberichtenBeveiligingbeveiligingchatleknieuwsopenbaarprivacywhatsapp

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!