Beveiliging WhatsApp-berichten toch niet waterdicht

Hoewel WhatsApp berichten steengoed beveiligt wanneer ze in transit zijn tussen toestellen, is het toch mogelijk voor aanvallers om mee te lezen. Problemen met sessie-management liggen aan de basis en zijn niet uniek aan WhatsApp alleen.

WhatsApp is de populairste chat-applicatie ter wereld, met zo’n 1,5 miljard maandelijkse actieve gebruikers wereldwijd. Naast het gebruiksgemak is het de beveiliging van de applicatie die veel mensen aanspreekt. WhatsApp claimt immers dat het chats waterdicht versleutelt met end-to-end encryptie. Het gebruikt daarvoor het open source Signal-protocol, ontwikkeld door encryptiespecialist Open Whisper. Dat protocol zorgt ervoor dat berichten onleesbaar zijn van zodra ze vertrekken op het toestel van de verzender totdat ze aankomen op het toestel van de ontvanger. Beveiligingsonderzoekers smeten zich al met vol enthousiasme op het protocol, dat tot vandaag effectief erg veilig blijkt. Zelfs de provider, in casu WhatsApp, kan niet meelezen met wat er langs zijn servers passeert.

Beperkingen van end-to-end

Toch is de beveiliging van de berichten daarmee niet waterdicht. Dat constateert Talos Intelligence Group, de beveiligingstak van Cisco, na een recent onderzoek. Het probleem ligt niet zozeer exclusief bij WhatsApp zelf, maar eerder bij wat er gebeurt zodra berichten aankomen op een toestel en de perceptie die gebruikers daarbij hebben. WhatsApp pakt net als andere diensten zoals Telegram en Signal uit met de kwaliteit van zijn beveiliging, maar negeert daarbij het feit dat de end-to-end-bescherming is uitgespeeld zodra berichten een endpoint bereiken.

Concreet ontdekte Talos dat hackers chatsessies kunnen hijacken via de desktop-implementatie van WhatsApp. Als ze eerst een endpoint kraken, hebben ze voet aan grond om de nodige sleutels voor desktopsessies van WhatsApp te stelen. Met die sleutels in de hand kunnen ze de desktopsessie van een authentieke gebruiker dupliceren.

Dat duplicaat geeft de hacker toegang tot de berichten en de contacten van het slachtoffer. De crimineel kan berichten sturen uit naam van het slachtoffer, berichten wissen, mensen toevoegen aan groepen en meer.

Waarschuwingen

In theorie is de zogenaamde schaduwsessie niet onzichtbaar voor het slachtoffer. WhatsApp laat om beveiligingsredenen maar één desktopsessie op hetzelfde moment bestaan. Start iemand een tweede sessie op, dan wordt de eerste beëindigd met een dialoogvenster dat aangeeft dat WhatsApp Web op een andere plaats is geopend. Dat laat de gebruiker toe om de sessie terug naar zijn systeem te halen, en dient als waarschuwing dat er iets mis is.

In de praktijk zullen de meeste gebruikers zonder security-achtergrond de melding als een foutje van de app zien en er niet verder bij stilstaan. Bovendien heeft de hacker vrij spel totdat het slachtoffer actie heeft ondernomen, wat lang kan duren als hij of zij niet achter de pc zit.

Omzeilen

Talos ontdekte tot slot dat het zelfs mogelijk is om de sessie-limitatie te omzeilen. Aangezien onze crimineel in theorie al toegang heeft tot de endpoint van het slachtoffer, kan hij dat systeem manipuleren door de netwerkinterface van de gekraakte machine tijdelijk te deactiveren. Zo kan een hacker het sessie-management van WhatsApp te slim af zijn en blijven meelezen via zijn schaduwsessie.

Complexe kwetsbaarheid

De bevindingen van Talos klinken dramatisch, al valt het risico in de praktijk best mee. Voor een succesvolle aanval moeten hackers zich immers eerst toegang verschaffen tot de Mac, Linux- of Windows-pc van het slachtoffer, wat best complex is. Het is natuurlijk perfect mogelijk dat criminelen de nodige functionaliteit in de toekomst zullen inbouwen in veelvoorkomende malware, gezien de populariteit van WhatsApp. De complexiteit van de kwetsbaarheid is dus zeker geen reden om ze te negeren.

Integendeel. Zeker organisaties die vertrouwen op de beveiliging die WhatsApp biedt, moeten zich erg bewust zijn van de risico’s. De beste remedie tegen de aanval is een goede bescherming van de endpoints van gebruikers. Door die dicht te timmeren, kan een hacker niet aan de nodige sleutels om een sessie te dupliceren en doet het probleem zich niet voor.

Iedereen vatbaar

Overstappen naar andere gelijkaardige applicaties biedt geen soelaas. Telegram en Signal zijn onderhevig aan net dezelfde kwetsbaarheid. In tegenstelling tot WhatsApp is hun management van desktopsessies bovendien een stuk vager, waardoor het lang niet meteen duidelijk zal zijn voor een gebruiker dat er een schaduwsessie is geopend.

Tot slot ontdekte Talos dat zelfs sessies op een mobiele telefoon kunnen worden gekaapt, al lijkt die kwetsbaarheid zich vooralsnog te beperkten tot de Telegram-applicatie die in onze contreien een stuk minder populair is. Telegram gebruikt in tegenstelling tot zijn concurrenten geen open source encryptie en bleek in het verleden al meermaals een stuk minder goed beveiligd te zijn dan de open source collega’s.