Onderzoekers van Check Point hebben een kwetsbaarheid in WhatsApp ontdekt waarmee iemand berichten kan onderscheppen en manipuleren die zijn verzonden door personen in een groeps- of privégesprek. Hierdoor kunnen aanvallers niet alleen potentieel bewijs in hun voordeel versturen, maar ook misleidende informatie creëren en verspreiden.
WhatsApp benadrukt in al zijn communicatie dat al het berichtenverkeer versleuteld is en alleen zichtbaar is voor de ontvanger. Zelfs WhatsApp kan de berichten niet lezen. De onderzoekers van Check Point wilden de proef op de som nemen en richtten zich op het encryptieproces dat WhatsApp hiervoor gebruikt. Zij probeerden de code te breken door dit proces om te keren. Die aanpak was succesvol: de onderzoekers ontdekten dat WhatsApp het “protobuf2”-protocol gebruikt voor de versleuteling. Met die kennis konden zij het berichtenverkeer ontsleutelen.
Door de decryptie van het berichtenverkeer in WhatsApp, zag Check Point alle parameters die verzonden werden tussen de mobiele versie en de online versie van WhatsApp. Deze parameters konden zij vervolgens manipuleren om de beveiliging van WhatsApp te kraken. Zodoende kon Check Point verschillende aanvallen uitvoeren, waarvan er drie hieronder beschreven staan. Check Point heeft deze kwetsbaarheden onmiddellijk gerapporteerd bij WhatsApp. Indien iemand er echter misbruik van maakt, kan dat voor gebruikers van WhatsApp zo niet gevaarlijk, dan toch gênant zijn.
Aanval 1: Verander de identiteit van een afzender in een groepsgesprek. Check Point kon de ‘quote’-functie te misbruiken om een verzonnen antwoordbericht te sturen in een groepsgesprek. Dit lijkt dan afkomstig te zijn van een bestaand groepslid, en was zelfs mogelijk namens een niet-bestaand groepslid, zoals ‘Mickey Mouse’.
Aanval 2: Leg woorden in de mond van een ander. Hiermee kan een aanvaller een gesprek manipuleren door berichten terug te sturen aan zichzelf namens een ander persoon. Het lijkt dan alsof dat bericht werkelijk van die andere persoon afkomstig is. Zodoende is het mogelijk om een ander ergens van te beschuldigen of deze persoon op een andere manier te beschamen.
Aanval 3: Laat een privébericht zien aan de hele groep. Check Point ontdekte dat het mogelijk is om een privébericht te sturen naar iemand binnen een groepsgesprek, maar ervoor te zorgen dat zijn of haar antwoord openbaar verschijnt zodat de hele groep dat ziet. Zodoende kan men iemand ertoe verleiden om geheimen te openbaren, ruzies uitlokken of iemand op een andere manier flink ‘in zijn hemd’ zetten.