Dodgy Database
Nederlander Bas Bosschert stelde de beveiliging van WhatsApp onlangs aan de kaak en toonde aan dat malafide applicaties makkelijk toegang kunnen krijgen tot ieders gespreksgeschiedenis. Bosschert toonde aan dat een beetje fatsoenlijke app-ontwikkelaar makkelijk een applicatie kan schrijven die al je WhatsApp-data kan stelen. De applicatie moet alleen toegang krijgen tot de SD-kaart en kunnen verbinden met het internet. Met een simpel script kan de versleutelde database dan ‘ontsleuteld’ worden.
Reactie
Het bericht van Bosschert ging zo snel rond op het internet dat WhatsApp zich genoodzaakt zag om te reageren op de aantijgingen. In een reactie aan de Amerikaanse website Techcrunch liet een woordvoerder van WhatsApp weten dat het probleem lang niet zo groot is als de berichtgeving doet vermoeden. Hieronder een vertaling van de verklaring van WhatsApp:
‘We zijn op de hoogte van de berichten over dit beveiligingslek, maar ze zijn overdreven en schetsen geen goed beeld van de werkelijkheid. Onder normale omstandigheden is data op de SD-kaart niet zomaar te bereiken. Echter, als een gebruiker malware downloadt of blootgesteld is aan een virus, dan is zijn/haar telefooon kwetsbaar. We raden WhatsApp-gebruikers altijd aan om de applicatie up-to-date te houden zodat ze altijd beschikken over de nieuwste ‘security-fixes’. Daarnaast drukken wij iedereen op het hart om alleen software te gebruiken van betrouwbare bedrijven en ontwikkelaars. De huidige versie van WhatsApp in de Play Store is geüpdatet om onze gebruikers beter te beschermen tegen malafide applicaties.’
Feitelijk legt WhatsApp hiermee de verantwoordelijkheid grotendeels bij de smartphone-gebruiker, die gewoon moet zorgen dat zijn of haar smartphone geen malafide software bevat. Het probleem ligt dus volgens WhatsApp niet bij de berichtendienst maar bij de gebruiker zelf. De informatie klopt echter niet helemaal: apps die de SD-kaart-permissie hebben kunnen informatie op de (interne) SD-kaart zonder problemen uitlezen. Dat hoeven dus echt geen apps te zijn die je uit de donkere krochten van het Internet vandaan hebt geplukt.
Beter beschermd
Het ‘beveiligingslek’ is al eens eerder aan de kaak gesteld maar sinds de overname door Facebook ligt WhatsApp natuurlijk behoorlijk onder de loep. De gebruiker is zich meer dan ooit bewust van de privacy-risico’s. Overigens is er sinds de laatste update van WhatsApp weinig veranderd wat betreft beveiliging van de database. Alleen de privacy-instellingen voor laatst gezien, profielfoto’s en de status zijn veranderd volgens de changelog van WhatsApp. Niets over bescherming van de database.
Bron: TechCrunch
Reacties
Inloggen of registreren
om een reactie achter te laten
En hoe zit het met WhatsApp sniffer, als je op de (openbare) wifi zat te appen kon die sniffer je gesprekken opvangen. Mag toch hopen dat dat niet meer kan?
En dan nog…. Degene die erbij willen kunnen erbij. Maar wat moeten ze in hemelsnaam met jouw en mijn geschiedenis????
Voor wie interesse heeft in de techniek en historie van SD permissies in Android http://www.androidpolice.com/2014/02/17/external-blues-google-has-brought-big-changes-to-sd-cards-in-kitkat-and-even-samsung-may-be-implementing-them/
Is dit niet ongeveer wat WhatStat al een tijdje doet?
Ze hebben inderdaad gelijk, des te meer is het bizar dat ze er voor gekozen hebben data op de minst veilige plek op te slaan die er is: de SD kaart. In developers documentatie staat ook duidelijk dat externe opslag door elke app met toegang te bereiken is. Whatsapp heeft in die zin gewoon de verkeerde beslissing gemaakt. Door het bestand (simpel) te versleutelen dachten ze kennelijk dat het minder erg zou zijn.
Ze hebben gelijk… Die apps met toegang tot je sd kunnen bij alles, niet alleen je WhatsApp database. Beetje suf om WhatsApp dan de schuld te geven.