De populaire sms-vervanger WhatsApp blijkt nog meer lekken te bevatten dan Webwereld donderdag al bevestigde. Niet alleen is het verkeer ongecodeerd en dus eenvoudig te onderscheppen, het blijkt ook zeer simpel om accounts van andere personen te kapen en hun berichten op die manier te lezen. Dat meldt het weblog GeenStijl vrijdagavond.

Vals telefoonnummer opgeven

Het weblog baseert zich op de theorie van een anonieme tipgever. Webwereld wist de theorie te reproduceren en in praktijk om te zetten. Wanneer iemand WhatsApp op zijn of haar telefoon installeert, vraagt deze applicatie eerst om een mobiel telefoonnummer. Normaliter vult een gebruiker daar zijn eigen telefoonnummer in. Het is echter ook mogelijk om het nummer van een derde persoon in te voeren.

Als volgende stap in het authenticatieproces, stuurt WhatsApp een sms met daarin een unieke sleutel naar het ingevoerde telefoonnummer. Ontvangt de telefoon deze sms, dan is het mogelijk om WhatsApp te gebruiken. Wanneer er een nummer van een ander persoon wordt ingevuld, dan zal de app deze sms naar dat nummer versturen. WhatsApp ziet het sms'je dan niet binnenkomen op de telefoon en de app blijft onbruikbaar, is de gedachte. De werkelijkheid blijkt echter weerbarstiger.

Sms vanaf gekaapt nummer versturen

Een slimme hacker zal namelijk de mobiele communicatie op zijn toestel uitschakelen. De sms blijft dan in de outbox staan en wordt niet verzonden. Vervolgens kan de kwaadwillende naar een online dienst gaan waar hij vanaf ieder telefoonnummer een sms kan versturen. Kopieer de sms uit de outbox van de telefoon, verstuur hem vanaf het valse nummer naar het eigen nummer en WhatsApp accepteert het.

Vanaf dat moment ontvangt de telefoon van de kwaadwillende alle WhatsApp chats die bedoeld zijn voor het slachtoffer, die moet dan wel zelf WhatsApp gebruiken. Zo is het mogelijk om berichten van ander gebruikers te onderscheppen, bekend of onbekend. Mits het telefoonnummer bekend is. Ook kan de aanvaller berichten versturen uit naam van het slachtoffer.

Opnieuw installeren

Er is overigens wel één beveiligingstechniek die de populaire applicatie toepast: Zodra de app geregistreerd is via een andere smartphone, werkt die niet meer op het toestel waar deze als eerste op geregistreerd is. De applicatie waarschuwt daarvoor en geeft aan de app opnieuw te installeren en dus opnieuw te authenticeren. Als het slachtoffer dat eenmaal gedaan heeft, kan de aanvaller niet langer de berichten lezen. Totdat hij de applicatie ook verwijdert en opnieuw aanmeld dan.

Webwereld heeft WhatsApp geïnformeerd over deze tekortkoming in haar applicatie. Het bedrijf heeft echter nog niet gereageerd.

Update 13:42: Volgens lezer Rickey Gevers is deze manier van een account overnemen niet mogelijk met een iPhone. Op dat platform kan de app namelijk zelf geen sms versturen maar wordt die vanaf de server van WhatsApp verzonden. Gaat dit mis, dan is er een mogelijkheid om zelf een sms naar WhatsApp te sturen waarop de aanvaller een authenticatiecode via e-mail terugkrijgt. Dit sms'je is volgens Gevers wel te spoofen, zo vertelt hij op zijn weblog.