WhatsApp veiligheid

knip offtopic

ontopic: als het zo slecht beveiligd zou zijn was er allang een afkeur geweest van iedereen.

[ Voor 29% gewijzigd door iisschots op 20-07-2015 15:03 ]

furian88 schreef op maandag 20 juli 2015 @ 14:47:
ontopic: als het zo slecht beveiligd zou zijn was er allang een afkeur geweest van iedereen.

Hoewel ik het met je eens ben dat dit topic zeer waarschijnlijk nergens toe zal leiden vind ik bovenstaande zin wel de verkeerde houding. Met security is het erg belangrijk om kritisch te blijven en er niet vanuit te gaan dat de massa het voor je gevalideerd heeft (denk aan TrueCrypt).

Ik heb dit zelf geprobeerd en het resultaat is dat het originele account gelijk wordt uitgeschakeld

Is dit van recent? Ik heb nog steeds whatsapp op 2 toestellen draaien, krijg ook op beide berichten gewoon binnen. (lummia 830 en huawei W1).

[ Voor 5% gewijzigd door SinergyX op 20-07-2015 14:52 ]

furian88 schreef op maandag 20 juli 2015 @ 14:47:
waardeloos topic, heeft volledig geen nut als je zelf het antwoord al geeft.

ontopic: als het zo slecht beveiligd zou zijn was er allang een afkeur geweest van iedereen.

Daarom draait iedereen Blackberry i.p.v. Android, ow wacht.

Avalaxy schreef op maandag 20 juli 2015 @ 14:50:
[...]


Hoewel ik het met je eens ben dat dit topic zeer waarschijnlijk nergens toe zal leiden vind ik bovenstaande zin wel de verkeerde houding. Met security is het erg belangrijk om kritisch te blijven en er niet vanuit te gaan dat de massa het voor je gevalideerd heeft (denk aan TrueCrypt).

Klopt, echter zijn voor zulk grote programma's dit soort simpele dingen wel eerst getest.
Simpelweg iemand zijn nummer voordoen en het smsje onderscheppen zou wel heel simpel zijn.
Vandaar de melding op het andere toestel dat whatsapp opnieuw geactiveerd moet worden.

eL_Jay schreef op maandag 20 juli 2015 @ 14:53:
[...]

Daarom draait iedereen Blackberry i.p.v. Android, ow wacht.

Klopt, maarja grote meerderheid he

iemand met het wachtwoord 12345678 is met BB net zo goed beveiligd als iemand met een android of iphone.

[ Voor 19% gewijzigd door furian88 op 20-07-2015 14:56 ]

Whatsapp biedt naar ik begrijp (alleen voor Android?) de mogelijkheid om via een webinterface de chat voort te zetten. Op die manier kan je dus ook vast 'afluisteren', als je de telefoon tijdelijk in handen hebt gehad (en de webinterface zo autoriseert). Aan de andere kant: als men je foon fysiek in handen heeft dan zijn er ook andere mogelijkheden als men echt wil.

Delen van het verkeer zijn AFAIK onversleuteld (maar niet de berichten zelf: die zijn versleuteld). De encryptie is obv. RC4, dat kan beter. En vooralsnog staat veel AFAIK onversleuteld op de Facebook-servers zodat daar sowieso kan worden afgeluisterd. Vraag is dan vooral waar je tegen wilt beschermen: bepaalde overheden kunnen meeluisteren via Facebook-servers.

furian88 schreef op maandag 20 juli 2015 @ 14:47:
ontopic: als het zo slecht beveiligd zou zijn was er allang een afkeur geweest van iedereen.

Mwoa, de chats zijn tijdenlang volledig onversleuteld geweest zodat iedereen kon meeluisteren. De gemiddelde gebruiker weet het niet en wil het niet weten, lijkt wel.

eL_Jay schreef op maandag 20 juli 2015 @ 14:53:
[...]

Daarom draait iedereen Blackberry i.p.v. Android, ow wacht.

Wat heeft Blackberry hier nu weer mee te maken?

F_J_K schreef op maandag 20 juli 2015 @ 14:58:
Whatsapp biedt naar ik begrijp (alleen voor Android?) de mogelijkheid om via een webinterface de chat voort te zetten. Op die manier kan je dus ook vast 'afluisteren', als je de telefoon tijdelijk in handen hebt gehad (en de webinterface zo autoriseert). Aan de andere kant: als men je foon fysiek in handen heeft dan zijn er ook andere mogelijkheden als men echt wil.

Delen van het verkeer zijn AFAIK onversleuteld (maar niet de berichten zelf: die zijn versleuteld). De encryptie is obv. RC4, dat kan beter. En vooralsnog staat veel AFAIK onversleuteld op de Facebook-servers zodat daar sowieso kan worden afgeluisterd. Vraag is dan vooral waar je tegen wilt beschermen: bepaalde overheden kunnen meeluisteren via Facebook-servers.

[...]

Mwoa, de chats zijn tijdenlang volledig onversleuteld geweest zodat iedereen kon meeluisteren. De gemiddelde gebruiker weet het niet en wil het niet weten, lijkt wel.

om nog maar niet te beginnen over het feit dat je een simkaart kan kopieren in een apparaat van nog geen 10 euro. Op deze manier kijk je altijd mee met berichten en kan je afluisteren zonder dat die persoon er enig idee van heeft.

furian88 schreef op maandag 20 juli 2015 @ 14:47:
waardeloos topic, heeft volledig geen nut als je zelf het antwoord al geeft.

De TS wil duidelijkheid mbt de bewering van een collega. TS doet vanuit het verhaal van zijn collega een aanname en vraagt hier of die aannames gegrond zijn. Dat betekend niet, dat hij zijn eigen vraag beantwoord, toch?

ontopic: als het zo slecht beveiligd zou zijn was er allang een afkeur geweest van iedereen.

Hoe goed bedoeld ook, helemaal als het te simpel zou zijn geweest. Maar niet iedereen is goed op de hoogte van beveiliging, laat staan dat ze er wat om geven (dat doet een doorsnee gebruiker niet)? Daarnaast zijn de meeste gebruikers verre van IT'ers, die hebben dus geen weet van dat soort zaken en hoe makkelijk het soms kan zijn om beveiligingen te omzeilen.

F_J_K schreef op maandag 20 juli 2015 @ 14:58:
Whatsapp biedt naar ik begrijp (alleen voor Android?) de mogelijkheid om via een webinterface de chat voort te zetten. Op die manier kan je dus ook vast 'afluisteren', als je de telefoon tijdelijk in handen hebt gehad (en de webinterface zo autoriseert). Aan de andere kant: als men je foon fysiek in handen heeft dan zijn er ook andere mogelijkheden als men echt wil.

De webbased Whatsapp (https://web.whatsapp.com) is zover ik weet enkel via HTTPS beschikbaar en je kunt maar 1 actieve serssie hebben van WhatsApp Web.

[ Voor 3% gewijzigd door CH4OS op 20-07-2015 15:12 ]

CptChaos schreef op maandag 20 juli 2015 @ 15:11:
De webbased Whatsapp (https://web.whatsapp.com) is zover ik weet enkel via HTTPS beschikbaar en je kunt maar 1 actieve serssie hebben van WhatsApp Web.

Ik bedoel dus dat een ander die ene websessie kan gebruiken

F_J_K schreef op maandag 20 juli 2015 @ 15:25:
[...]

Ik bedoel dus dat een ander die ene websessie kan gebruiken

Klopt, maar om in te loggen moet je de telefoon van die ander hebben. Vervolgens moet die telefoon een qr code scannen, zodat de koppeling tussen telefoon en browser gekegd wordt.

F_J_K schreef op maandag 20 juli 2015 @ 14:58:
[...]
Delen van het verkeer zijn AFAIK onversleuteld (maar niet de berichten zelf: die zijn versleuteld). De encryptie is obv. RC4, dat kan beter. En vooralsnog staat veel AFAIK onversleuteld op de Facebook-servers zodat daar sowieso kan worden afgeluisterd. Vraag is dan vooral waar je tegen wilt beschermen: bepaalde overheden kunnen meeluisteren via Facebook-servers.
[...]

Daar was laatst nog een artikel over hier op Tweakers, behoorlijk relevant hier: nieuws: 'Gebruiker kan niet vertrouwen op end-to-end-encryptie in WhatsApp' - update

Daarin staat dus dat communicatie tussen twee Android toestellen dus encrypted verloopt en wel met een betere standaard dan RC4. RC4 wordt gebruikt wanneer Android met iOS whatsapp'd. Natuurlijk ook niet goed maar het is dan ook een work-in-progress schijnt.

Aan de andere kant; veiligheid is nooit het speerpunt geweest van de ontwikkeling van WhatsApp, ook niet iets waarmee ze reclame maken vziw. Er zijn concurrenten die zich daar specifiek op richten. WhatsApp is voor de massa, niet voor de privacy bewuste gebruiker. Niet dat de massa niets om privacy geeft maar ze zijn minder bereid hun apps aan te passen daarop

---

Over die WhatsApp web, daar heb je inderdaad fysieke toegang voor nodig tot het toestel waarop WhatsApp geactiveerd is. En als iemand fysieke toegang heeft tot je device, is het meelezen van WhatsApp niet het minste probleem wat je hebt denk ik.

Overigens kunnen ze niet verbergen dat ze meelezen, want je kunt openstaande WhatsApp sessies bekijken vanuit de app en alles beëindigen.

Ik heb dit ook ergens gelezen met gehele methodiek erbij. Vraag me alleen af of het nog mogelijk is. Zal morgen eens zoeken of ik het artikel nog kan vinden.

Als je fysiek toegang hebt tot een telefoon kan je de database kopiëren en dan met dit truukje alle berichten openen.

Hoe en wat je nodig hebt zet ik hier niet neer

14ml337 schreef op donderdag 13 augustus 2015 @ 22:30:
Ik heb dit ook ergens gelezen met gehele methodiek erbij. Vraag me alleen af of het nog mogelijk is. Zal morgen eens zoeken of ik het artikel nog kan vinden.

Welnee. Als ik het allemaal goed heb gelezen hier, dan was dat was mijn 'hack' waar hier over gepraat wordt.
Die heb ik gepubliceerd op 20 Mei 2011 en was binnen een week ofzo gefixed.

Deze hack is dus al sinds 2011 niet meer mogelijk...

De methodiek was simpel, via Symbian:
- Installeer WhatsApp
- Stop simkaart zonder beltegoed in je telefoon, zodat je wel netwerk hebt (daar werd op gecontroleerd, dus zonder sim ging het niet werken.) maar het berichtje in je outbox blijft hangen
- Verifieer met nummer van de gene wiens account je wilt overnemen
- Onderschep het bericht met verificatiecode die aan het nummer werd gestuurd waarmee je probeerde te activeren, normaal zou je dus een SMS naar jezelf sturen. Dit kon met PC Suite.
- Kopier de activatiecode, en gebruik nu een SMS gateway: stuur jezelf een SMS, met als afzender het nummer van wie je het account wilt overnemen, en stop die activatiecode in dat SMSje.

Boem, de WhatsApp client dacht nu dat jij succesvol geverifieerd was.
Immers kreeg jij het SMSje binnen van het juiste nummer, en dat SMSje had je aan jezelf gestuurd met dat nummer: althans, dat dacht de WhatsApp client.

In Android kon dit ook door de radio af te luisteren met logcat via een ADB shell.


Dit is allemaal dus sinds 2011 totaal niet meer mogelijk. De activatiecode komt nu vanuit de WhatsApp SMS servers, en stuur je niet meer naar jezelf. Naar mijn weten is het op dit moment onmogelijk om dat bericht te onderscheppen, ook niet met toegang tot de telefoon van die persoon...

Bovendien, als je toch al toegang hebt tot het toestel van die persoon: wat boeit het dan in vredesnaam?
Dan ben je sowieso al heel erg ver van huis als iemand toegang heeft tot je toestel die kennelijk hele slechte plannen met jou gesprekken heeft.
Maar je kan inderdaad niet met meerdere devices online zijn, dus zelfs ALS je dat bericht zou kunnen onderscheppen en ALS je zou kunnen verifieren met die verificatiecode door het bericht te onderscheppen (Hoe dan? Want bij een nieuwe verificatie poging wordt ook een nieuw verificatiecode gegenereerd, dus die oude code die je onderschept voor het activeren van het toestel dat je in handen hebt is sowieso al waardeloos! Je kan daar niet mee inloggen op een ander toestel!) dan zou je dat wel meteen doorhebben... Ook zijn je berichten die je al ontvangen hebt dan nog altijd niet uit te lezen...

Het antwoord op de vraag van TS is dan ook: neen, die methode is niet (meer) mogelijk.

[ Voor 25% gewijzigd door WhatsappHack op 19-08-2015 06:35 ]