Check Point Research, die Threat-Intelligence-Abteilung von Check Point Software Technologies gibt auf der Black Hat-Messe in Las Vegas die Details zu drei Schwachstellen in der WhatsApp-Verschlüsselung bekannt. Für die Nachforschungen haben die Sicherheitsforscher ein spezielles Werkzeug entwickelt und die Verschlüsselung rekonstruiert.
Der Webseite 99 Firms zufolge besitzt WhatsApp über 1,5 Milliarden Nutzer in über 180 Ländern. Im Durchschnitt überprüfen diese Menschen ihre Chats mehr als 23 Mal pro Tag. Die App birgt daher ein großes Potenzial für Online-Betrug, Gerüchte und Fake-News. Genau das könnten gewöhnliche Kriminelle und andere Gruppierungen im Sinn haben, weswegen WhatsApp für sie ein sehr interessantes Ziel ist.
Die Sicherheitsforscher rekonstruierten die Verschlüsselung durch die Umkehrung des Algorithmus, der zur Entschlüsselung von Datensätzen dient. Nach der Entschlüsselung der WhatsApp-Kommunikation stellten sie fest, dass im Nachrichten-Modul hierfür das ‚protobuf2-Protokoll‘ verwendet wird. Die Konvertierung dieser protobuf2-Daten in Json gab freie Einsicht auf die gesendeten Parameter und gab den Forschern die Möglichkeit, diese zu manipulieren, um die IT-Sicherheit von WhatsApp zu untersuchen. Das Ergebnis der Forschung ist eine Burp-Suit-Extension und die drei folgenden Manipulationsmethoden:
- Verwenden der Zitier-Funktion in einem Gruppengespräch, um die Identität des Zitatgebers zu ändern, selbst dann, wenn diese Person kein Mitglied der Gruppe ist.
- Änderung der Antwort eines anderen Teilnehmers, um ihm unbemerkt andere Wörter in den Mund zu legen.
- Versenden einer privaten Nachricht an einen anderen Gruppenteilnehmer, die aber als öffentliche Nachricht getarnt ist. Antwortet die Zielperson, ist die Nachricht für alle Teilnehmer des Gespräches sichtbar.
In diesem Video demonstrieren die Sicherheitsforscher den Vorgang anschaulich.
WhatsApp hatte bereits vor der Kontaktierung durch die Sicherheitsforscher die dritte Schwachstelle geschlossen, doch die Gruppe um Oded Vanunu, Head of Products Vulnerability Research bei Check Point hatte zusätzlich herausgefunden, dass zitierte Nachrichten weiterhin manipuliert werden konnten, um falschen Informationen den Anstrich einer vertrauenswürdigen Quelle zu verleihen. Mehr zu den Nachforschungen über WhatsApp: Check Point Research Blog-Beitrag.
#Netzpalaver #CheckPoint
Stellungnahme von WhatsApp/Facebook:
“We carefully reviewed this issue a year ago and it is false to suggest there is a vulnerability with the security we provide on WhatsApp. The scenario described here is merely the mobile equivalent of altering replies in an email thread to make it look like something a person didn’t write. We need to be mindful that addressing concerns raised by these researchers could make WhatsApp less private – such as storing information about the origin of messages.”
Hinweise von Check Point zum Media-Alert:
Nur die dritte, im Bericht genannte, Schwachstelle wurde bisher von Facebook in WhatsApp geschlossen. Nummer eins und zwei liegen weiterhin offen; nach der Aussage von Facebook aufgrund von „infrastructure limitations on WhatsApp“ – genaueres lies der Anbieter nicht verlauten: https://www.bbc.com/news/technology-49273606
Außerdem ist zur Umgehung der Verschlüsselung und Ausnutzung der Schwachstellen ein spezielles Werkzeug nötig. Dieses hat das Check Point Research Team selbst erstellt und plant nun, dieses frei zur Verfügung zu stellen, um den Fokus stärker auf diese Schwachstellen zu lenken.
Reverse Engineering #WhatsApp: Encryption for Chat Manipulation: Our experts present at #BHUSA. Prevent mega #attacks with Absolute Zero Trust with Check Point Infinity for network, cloud, endpoint and mobile devices before they strike. Visit booth 1516. https://t.co/Yl8oe47roZ pic.twitter.com/nPrc02Ioqn
— Check Point Software (@CheckPointSW) July 30, 2019
.@CheckPointSW did a great presentation on #whatsapp , a treat to watch at #BHUSA2019 pic.twitter.com/TOVecXHhqq
— Mazhar (@TriconUmt) August 8, 2019
Update: 12. August 2019: Zu einer weiteren Stellungnahme bezüglich der Einwände von WhatsApp/Facebook ist CheckPoint nicht bereit. „Man glaube weiterhin an den Befund des Research Teams und hoffe, dass Facebook die Schwachstellen schließen werde.“