WhatsApp voert authenticatie makkelijk uit

Redactie
0

De populaire sms-app WhatsApp voerde eind augustus versleuteling in. De Britse webontwikkelaar Sam Granger geeft nu uitleg over de manier waarop de authenticatie onder Android bij het webfront-end verloopt: de applicatie maakt gebruik van het IMEI-nummer en maakt daarmee een eenvoudig nieuw genereerbare sleutel aan.

Volgens Granger gebruikt WhatsApp alleen het omgedraaide IMEI en genereert de app daarmee zonder verdere ‘Salt‘  een MD5-hash. Omdat het telefoonnummer  dienst doet als gebruikersnaam, zouden aanvallers de benodigde data makkelijk met normale Android-interfaces kunnen achterhalen. Een programma voor het bepalen van het IMEI en het telefoonnummer is volgens de Brit snel te schrijven en onder valse voorwendselen ook in Google Play te krijgen.

Verder vervolgt de onderzoeker met het feit dat de WhatsApp-services met deze toegangsgegevens kunnen worden gebruikt. Er is geen officiële API, maar op internet is software te vinden waarmee je toegang kunt krijgen tot de WhatsApp-webservices. Daarmee is het mogelijk om berichten te versturen die van de gebruiker van het gekraakte account afkomstig zouden zijn.

Tot dusver is niet bekend hoe WhatsApp de authentificatie op andere platforms uitvoert. Apples iOS heeft vergeleken met Android bijvoorbeeld geen officiële interface waarmee je het IMEI kunt achterhalen. Het telefoonnummer, oftewel de gebruikersnaam, wordt overigens nog steeds als pure tekst verzonden.

WhatsApp gebruikt voor het uitwisselen van berichten een variant van het XMP-protocol dat veel instant messengers ondersteunen. De app draait op alle relevante mobiele platforms.

Meer over

WhatsApp

Deel dit artikel

Lees ook

Apple M1 versus AMD en Intel – c’t magazine 8-9/2022 staat voor je klaar

C't magazine 8-9/2021 staat voor je klaar, met o.a. Apple M1 versus AMD en Intel, en Raspberry Pi-projecten. Bestel deze editie nu met gratis verzendi...

Nieuwe ARM-servers met Ampere-chips

Hetzner Online heeft zojuist twee nieuwe dedicated servers gelanceerd met een Ampere ARM-gebaseerde Cloud Native Processor.

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er