Vorige jaar schakelde de berichtendienst WhatsApp over op totale versleuteling waarbij al te nieuwsgierige spionnen het nakijken hadden. Nu demonstreert het Israëlische bedrijf Check Point, dat in de webversie van WhatsApp en ook van berichtendienst Telegram de versleuteling is te omzeilen door HTML-code (een opmaaktaal voor webpagina’s) in ogenschijnlijk onschuldige foto’s of video’s te verstoppen. Als de gebruiker de foto of video aanklikt gaat de kwalijke code aan de slag waardoor een aanvaller toegang tot berichten, foto’s, video’s en lijst met contacten krijgt. De beide diensten hebben het lek gedicht, maar er zouden nog steeds miljoenen mensen zijn die die ‘reparatie’ niet hebben uitgevoerd.
Volgens onderzoekers zou dat lek in alle webversies van beveiligde berichtendiensten zitten. Wat dat betreft is een telefoon veiliger voor de bescherming van de privacy. “Dit legt zwakheden van webtoepassingen bloot”, zegt Nadim Kobeissi van het bedrijf Symbolic Software. Kwetsbaarheden die de telefoonversies niet hebben.
Check Point maakte gebruik van lekken in de manier waarop de webversies van de twee diensten de foto’s of filmpjes valideren om te kijken of het niet om kwaadaardige programmatuur gaat. “Elke webtoepassing, of het nou gaat om Facebook of de toegang tot je bank controleert of wat je ingeeft of verstuurt ook toegestaan is”, zegt Oded Vanunu van Check Point. “Als je die controle kunt omzeilen, dan is het gedaan. Dan doet je websurfer wat je ingeeft.”
Volgens Kobeissi is het probleem dat in websurfers de componenten die het mogelijk mogen maken om met diverse bestandstypen of commando’s om te gaan minder gedefinieerd en geïsoleerd dan in een besturingssysteem. Daar komt bij dat Javascript het mogelijk maakt nieuwe code aan te maken, typisch een manier om iets aan een webtoepassing te veranderen. Telefoontoepassingen worden gecompileerd voor de installatie.
Niet normaal
Dat wil overigens niet zeggen dat die lekken in webapplicaties normaal zijn. Volgens beide deskundigen is het gevonden lek zowel zeldzaam als gevaarlijk. Kobeissi: “Het is niet nieuw, maar wel indrukwekkend en slim.
WhatsApp verklaarde het gat in een dag gedicht te hebben. Het bedrijf beval gebruikers aan de zaak te herstarten om er zeker van te zijn dat de websurfers beveiligd zijn. Volgens Telegram zou medewerking van de gebruiker nodig zijn om de inbraak te doen slagen. De aanval zou alleen werken als de gebruiker in Chrome op een video klikt die al speelt, die dan opent in een nieuwe tab.
Een goede tip is dan ook: als je niet wil dat er in je versleutelde berichtendienst wordt ingebroken, gebruik dan geen webversies van die toepassingen.
Bron: Wired