D ' Oh! Grundlegende Fehler in WhatsApp könnten Angreifer Nachrichten entschlüsseln können.

2013-12-28  |  Comebuy News

Die beliebte mobile messaging-Anwendung WhatsApp Messenger hat einen großen Designfehler in seiner kryptographischen Implementierung, die Angreifer abgefangene Nachrichten entschlüsseln kann nach einer niederländischen Entwickler.

Comebuy Verwandte Artikel: WhatsApp-Lecks Telefonnummern, ConversationsWhatsApp, stärkere roll-out fixes für messaging VulnerabilityWhatsApp Verfolgung auf schlechte PrivacyUPDATE zukommen könnten: WhatsApp Falschmeldung neueste DetailsInstant messaging überholt den bescheidenen SMS-Text

Das Problem ist, dass derselbe Schlüssel verwendet wird, um eingehenden und ausgehenden Datenströme zwischen dem Client und der WhatsApp-Server zu verschlüsseln, sagte Thijs Alkemade, ein Computer-Wissenschaft und Mathematik-Student an der Universität Utrecht in den Niederlanden und leitender Entwickler des Open Source Adium instant messaging-Clients für Mac OS X.

"RC4 ist ein PRNG [Pseudo random Number Generator], die einen Stream von Bytes, generiert die Xored [eine Krypto-Operation] mit dem Klartext verschlüsselt werden. Durch Xoring den verschlüsselten Text mit demselben Stream, wird der Klartext Alkemade wiederhergestellt,"sagte am Dienstag in einem Blog-Post, die das Problem im Detail beschreibt.

Aus diesem Grund kann wenn zwei Nachrichten mit demselben Schlüssel verschlüsselt sind und ein Angreifer abgefangen werden kann, wie auf ein offenes Drahtlosnetzwerk, er analysiert sie den Schlüssel aufheben und am Ende erhalten die ursprünglichen nur-Text-Informationen.

Wiederverwendung des Schlüssels auf diese Weise ist eine Basisimplementierung Krypto-Fehlermeldung, der die WhatsApp-Entwickler kennen, hätte Alkemade sagte Mittwoch. Ist es ein Fehler von den Sowjets in den 1950er Jahren und von Microsoft in der VPN-Software im Jahr 1995, sagte er.

Alkemade Proof-of-Concept-Exploit-Code für die Schwachstelle veröffentlicht, aber zunächst auf die WhatsPoke Open-Source-Bibliothek, nicht auf den offiziellen WhatsApp-Client getestet. Seitdem hat er bestätigt, dass das Problem in den WhatsApp-Clients für Nokia Series 40 und Android-Geräte existiert.

"Ich glaube nicht, dass die Situation mit dem iOS-Client anders sein wird", sagte er.

WhatsApp verwendet auch den gleichen RC4-Verschlüsselungsschlüssel für HMAC (Hash-based Message Authentication Code) Operationen, um Nachrichten zu authentifizieren.

Dadurch ist einen Angreifer abfangen eine Nachricht von einem Benutzer an den Server gesendet und senden es zurück an den Benutzer, als ob es von der WhatsApp-Server kam, aber das ist nicht etwas, der leicht ausgenutzt werden können, sagte Alkemade.

Der niederländische Entwickler versucht nicht WhatsApp zu kontaktieren, bevor das Problem öffentlich preiszugeben. "Ich dachte, dass es wichtig für die Menschen zu wissen, dass WhatsApp nicht sicher ist und ich hatte nicht erwartet, dass sie es schnell zu beheben", sagte er.

WhatsApp antwortet nicht sofort auf eine Anforderung für eine Stellungnahme am Mittwoch.

Dies zu beheben nicht erforderlich, die gesamte Verschlüsselungsimplementierung zu überdenken, sagte Alkemade. Wenn sie eine Methode, um verschiedene Schlüssel für die Verschlüsselung in beide Richtungen, sowie für die Nachrichtenauthentifizierung generieren hinzufügen, ist dann das Problem gelöst sei.

Laut Alkemade Benutzer vorerst sollten davon ausgehen, dass jeder, der ihre WhatsApp-Verbindungen abfangen kann auch ihre Nachrichten entschlüsseln kann und sollten ihre vorherige WhatsApp-Gespräche gefährdet.

Bis das Problem behoben wird ist das einzige, was Benutzer tun können, um sich zu schützen, die Verwendung der Anwendung Alkemade sagte.

« Back