WhatsApp voert authenticatie makkelijk uit

Redactie
0

De populaire sms-app WhatsApp voerde eind augustus versleuteling in. De Britse webontwikkelaar Sam Granger geeft nu uitleg over de manier waarop de authenticatie onder Android bij het webfront-end verloopt: de applicatie maakt gebruik van het IMEI-nummer en maakt daarmee een eenvoudig nieuw genereerbare sleutel aan.

Volgens Granger gebruikt WhatsApp alleen het omgedraaide IMEI en genereert de app daarmee zonder verdere ‘Salt‘  een MD5-hash. Omdat het telefoonnummer  dienst doet als gebruikersnaam, zouden aanvallers de benodigde data makkelijk met normale Android-interfaces kunnen achterhalen. Een programma voor het bepalen van het IMEI en het telefoonnummer is volgens de Brit snel te schrijven en onder valse voorwendselen ook in Google Play te krijgen.

Verder vervolgt de onderzoeker met het feit dat de WhatsApp-services met deze toegangsgegevens kunnen worden gebruikt. Er is geen officiële API, maar op internet is software te vinden waarmee je toegang kunt krijgen tot de WhatsApp-webservices. Daarmee is het mogelijk om berichten te versturen die van de gebruiker van het gekraakte account afkomstig zouden zijn.

Tot dusver is niet bekend hoe WhatsApp de authentificatie op andere platforms uitvoert. Apples iOS heeft vergeleken met Android bijvoorbeeld geen officiële interface waarmee je het IMEI kunt achterhalen. Het telefoonnummer, oftewel de gebruikersnaam, wordt overigens nog steeds als pure tekst verzonden.

WhatsApp gebruikt voor het uitwisselen van berichten een variant van het XMP-protocol dat veel instant messengers ondersteunen. De app draait op alle relevante mobiele platforms.

Meer over

WhatsApp

Deel dit artikel

Lees ook

Deze Delta aanbieding voor glasvezel moet voor nieuwe klanten zorgen

Heb jij of wordt er binnenkort glasvezel van Delta bij jou aangelegd? Dan hebben wij goed nieuws voor je. Delta heeft momenteel een leuke aanbieding w...

NordVPN lanceert Saily: een nieuwe wereldwijde eSIM-service

Nord Security, het moederbedrijf van NordVPN, heeft zojuist zijn nieuwste product gelanceerd onder de naam Saily. Dit is een nieuwe wereldwijde eSIM-s...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er