Onderzoekers van het Israëlische Check Point Software Technologies hebben een fout ontdekt in de gratis berichtenservice Whatsapp. Volgens het cybersecurity bedrijf, dat onder meer Benelux-kantoren in Bunnik en Zaventem heeft, kunnen verzonden berichten onderschept én gemanipuleerd worden, waardoor een hacker misleidende informatie kan creëren, verspreiden en potentieel bewijs in zijn of haar voordeel kan versturen.
Het beveiligingslek maakt het volgens Check Point voor een aanvaller mogelijk de identiteit van de afzender te wijzigen, zelfs als die persoon geen lid van de Whatsapp-groep is. Naast dat kan ook de tekst van het antwoord van iemand anders veranderd worden, waardoor men woorden in iemands mond kan leggen en er kan een privébericht verstuurd worden naar een andere groepsdeelnemer, dat vermomd is als openbaar bericht voor iedereen. Wanneer de persoon die op Whatsapp wordt aangevallen, antwoordt, is het zichtbaar voor iedereen in het gesprek.
‘We hebben dit probleem zorgvuldig bekeken en het is het equivalent van het wijzigen van een e-mail’, aldus Carl Woog, woordvoerder van Whatsapp, in een verklaring aan de New York Times. De door Check Point ontdekte fout zou volgens hem niks te maken hebben met de beveiliging van Whatsapp’s zogeheten end-to-end-encryptie, die ervoor zorgt dat alleen de verzender en ontvanger berichten kunnen lezen. Whatsapp erkent volgens hem wel dat iemand de citaatfunctie kan manipuleren, maar een fout is het naar eigen zeggen niet. De berichtenservice zou werken zoals het is bedoeld. Om dergelijke misleidingen te voorkomen, zou iedere melding op het platform gecontroleerd moeten worden, iets wat privacygevoelig is en ook de service zou verzwakken.
Wat een erg vaag bericht. Gaat het hier nu alleen om de groepsfunctionaliteit of alle berichten. End-to-end encryptie zodat alleen zender en ontvanger kan lezen? Is deze versleuteling dan gebroken? Wat wordt er end to end versleuteld? Niet alles als dit onderschept kan worden en is de end to end encryptie een wassenneus. Waar en wanneer wordt het onderschept? Maw erg vaag.
Hoe kan een WhatsApp vertegenwoordiger zeggen “Whatsapp erkent volgens hem wel dat iemand de citaatfunctie kan manipuleren, maar een fout is het naar eigen zeggen niet” als iemand zich kan voordoen als een ander. Dat lijkt mij op zijn minst geen gewenste (dus te verwijderen) functionaliteit. WhatsApp werkt dus niet naar behoren van een denk ik groot deel van haar klantengroep.
@Jan
De melding van Check Point Software Technologies is erg duidelijk en is vrij ernstig. De reactie van WhatsApp is misleidend, zij verdraaien het grote probleem, het kunnen onderscheppen en manipuleren van berichten, naar het kunnen veranderen van de originele tekst als je er een antwoord op geeft. Net zoals je bij email kunt doen.
WhatsApp zegt dat hun dienst end-to-end encryptie gebruikt, maar dat lijkt me erg onwaarschijnlijk als de claim van Check Point klopt. Of de beveiliging is er wel, maar erg zwak, of er zit een (door de NSA/FBI/CIA/… aangevraagde) achterdeur in.
Dit lijkt me een mooi moment voor een nieuw bedrijf om in de online messaging te stappen. WhatsApp heeft nogal wat nadelen:
– het is van Facebook;
– ze koppelen je WhatsApp account aan je Facebook account;
– ze verzamelen je chatstatistieken;
– ze hebben hun beveiliging niet op orde;
– ze ontkennen hun beveiligingsproblemen;
– ze willen (weer) geld gaan vragen voor hun dienst;
– …
Dus doe mij maar een betrouwbare en onafhankelijke dienst waarbij je kunt kiezen tussen het betalen van een klein bedrag per maand of het verplicht zien van reclame, zodat je zeker weet dat ze hun geld niet hoeven te verdienen met het verzamelen en verkopen van jouw online gedrag.
De grootste uitdaging wordt het goed in de markt zetten van zo’n dienst. Want als jij als enige van die dienst gebruik maakt, en al je collega’s en vrienden gebruiken WhatsApp, dan wordt het niks. Het zou ook helpen als overheden en/of grote bedrijven het gebruik van WhatsApp gaan verbieden ivm beveiliging.
@Frank Heikens Ik meende over Whatsapp gelezen te hebben dat het een betaalde dienst wordt voor bedrijven die het gebruiken, de gewone gebruiker hoeft niet te betalen maar die gaat met reclame opgezadeld worden. Plus natuurlijk alle data die gebruikers genereren.
Het zijn allemaal volkomen onsympathieke bedrijven. En eens met je opmerkingen over een alternatief voor Whatsapp. Heb dat idee helemaal wel, er is grote behoefte aan diensten die garanties bieden over het niet aanbieden van reclame, het niet gebruiken en opslaan van data. En dat in niet meer dan a4-tje in plaats van de onleesbare boekwerken waarmee deze bedrijven op de proppen komen. Betaal er dan wat voor. Meer is niet genoeg voor al die techgiganten.
@Louis Kossen
Diensten aanbieden kost geld. Bedrijven die diensten aanbieden, moeten dus een manier hebben om er geld mee te verdienen.
Het moet voor de gebruikers van die diensten duidelijk zijn hoe dat geld verdiend wordt.
Google, Facebook en WhatsApp bieden gratis diensten aan en verdienen aan jouw gedrag online. Dit verdienmodel heeft niet mijn voorkeur.
Apple apparaten zijn duur, waardoor ze verschillende diensten aan kunnen bieden voor de levensduur van het apparaat.
Spotify laat je gratis naar muziek luisteren, en laat daarom elke 3 nummers reclame horen, maar als je ervoor betaalt, dan is de muziek reclamevrij.
Dat laatste zie ik ook als een goed verdienmodel voor de opvolger van WhatsApp. Duidelijk en transparant, je hoeft je geen zorgen te maken over wat ze met je chatgeschiedenis doen (waarvan ze overigens de inhoud niet hebben met echte end-to-end encryptie), geen opgeslagen persoonlijke adresboeken of metadata die kan lekken om de simpele reden dat ze het niet opslaan, … Je mag (elke maand weer) kiezen tussen betaald zonder reclame of gratis met reclame (maar zonder reclame trackers).
Signal, Telegraph, Tox
evt. andere geintegreerde systemen.
Maar ja de meeste zijn op . . . . . dus ik, schaap, ook.
@FrankHeikens Er moet wat verdiend worden, daarom is betalen voor een dienst niet gek. Ok,vooruit, reclame in andere gevallen maar dat moet het ook zijn. Dat is nog ver weg, de jacht op onze gegevens is de belangrijkste bezigheid op het internet. Via apps,maar ook via webpagina’s. Zou wat mij betreft ook voor webpagina’s moeten gelden, duidelijk maken, dit doen we, dit doen we niet. Dan naast schone apps ook schone pagina’s de toekomst hebben.
@Louis Kossen
Voor niks gaat de zon op, voor de rest moet je betalen. Heel logisch allemaal.
Voor de krant moet je betalen. Het is dus logisch dat je voor het nieuws op internet ook moet betalen. Maar omdat je niet voor elke site wereldwijd een abonnement gaat afsluiten, is het logisch dat sites via reclame geld willen verdienen. Logisch, want de journalisten die de artikelen schrijven moeten ook worden betaald. Voor niks gaat de zon op…
Maar hier begint het probleem. Google is de grootste advertentiemakelaar op internet. Ga naar een willekeurige site, en de kans is heel groot dat de advertenties die je daar ziet Google Ads zijn.
Zoek voor de gein eens met Google op wasmachines, en klik daar op wat links. Ga (een dag/week) daarna bijvoorbeeld naar nu.nl, dan zul je daar advertenties van wasmachines zien.
Google linkt alles aan elkaar, als het kan op gebruikersnaam, maar ook op IP adres, en alles ondersteund met cookies. Google weet dat je het nieuws meestal op nu.nl leest, en soms op ad.nl of telegraaf.nl. Google weet dat je geregeld computable.nl bezoekt. Google weet dit van jou, ook al heb je geen Google account of Android telefoon.
Wil je inline nog een beetje privacy, dan moet je wel een adblocker gebruiken. Daarmee voorkom je ook dat je een week na het kopen van die wasmachine nog steeds wordt lastiggevallen met wasmachinereclames! Ze zijn nog niet zo slim dat het dan tijd is voor wasmiddelenreclames…
Door adblockers staat wel het verdienmodel van veel sites op de tocht. De verzamelwoede van Google maakt indirect dus heel veel sites kapot! Nog even en Google is onze single source of news… Horror!
Ik betaal graag een eurootje per maand voor een goede en veilige WhatsApp vervanger!