Nästan alla känner till Whatsapp. Obegränsade meddelanden som inte påverkar telefonräkningen och smidig funktionalitet har gjort Whatsapp till en av världens populäraste appar för smartphones. Men vad många inte känner till är dess stora säkerhetsbrister. Som är så allvarliga att det enda raka är att sluta använda appen – tills tillverkarna täpper till luckorna.
Och Whatsapp är långt ifrån den enda appen som är säkerhetsmässigt tveksam.
Den extremt populära messengerappen Whatsapp hanterar varje dag miljarder privata meddelanden i sina nätverk. Kritiken har varit hård mot att meddelanden skickats klartext ända fram till för en månad sedan. Nu har man smetat på lite kryptering, men den har visat sig vara ett tunt lager och man verkar inte riktigt ha velat redovisa hur man har gjort.
Nu har en ytterligare en säkerhetslucka hittats. Om man använder Whatsapp i ett trådlöst nätverk är det skrämmande enkelt att ta över användarkontot och komma åt meddelanden och uppgifter om enheterna de skickas från.
Orsaken är att Whatsapp fungerar på ett lite speciellt sätt eftersom den inte kräver någon inloggning som verifikation (och nu blir det lite tekniskt en stund). Istället använder Whatsapp telefonnummer och IMEI eller MAC-adress för autenticering (login/password). Den som är i närheten av samma Wifi-nätverk kan enkelt hitta MAC-adressen, men även utan kan man prova sig fram. På iOS så använder Whatsapp telefonnumret som login och en hash av MAC som lösenord. Det betyder att om du kan någons telefonnummer, och antingen bruteforcar deras MAC-adress, eller kan vara i närheten när telefonen är i ett trådlöst nätverk, så får du dess MAC-adress. Med dessa kan du sedan autenticera mot Whatsapps servrar för att läsa och leverera meddelanden i användarens namn. Kort sagt, istället för att använda ett användarnamn och lösenord för att logga in, så använder Whatsapp (och många andra appar) information och ID-nummer från telefonen för att autenticera sig.
Vad betyder det här för användaren? Helt enkelt att man ganska enkelt kan läsa andras meddelanden och det är en tydlig dealbreaker för en app av den här typen. Det här ger inte bara obehöriga ett bra tillfälle att ta del av privat information, utan dessutom en möjlighet att injicera egen information, till exempel spam eller phishing-länkar som ser ut att komma från någon du känner.
Det blir värre – det är dessutom omöjligt att kolla upp om ett konto har blivit hackat eftersom det egentligen inte finns något konto. Bara om du får respons på ett meddelande du inte har skickat själv, eller aldrig får meddelanden du borde fått, skulle du kunna börja misstänka att något underligt är i görningen.
Kort sagt är det här väldigt allvarligt. Om leverantören inte agerar mycket snabbt för att lösa problemen så rekommenderar jag absolut att man avinstallerar appen. Som användare bör man även sätta press på leverantören, man ska kunna kräva mer av ett appföretag av den kalibern.
Tydligen så har utvecklarna av Whatsapp även löst krypteringen på helt olika sätt på iOS och Android. Det tyder på att de har separata avdelningar/programmerare som löser det ”på sitt eget sätt”. Det är skrämmande när det kommer till appar som är så stora.
Det finns en anmärkningsvärd parallell till det här fallet – UUID-läckan från ett stort register av Apple-enheter som skedde för ett par veckor sedan. Det finns appar som använder UUID för autentisering ungefär på samma sätt som Whatsapp gör här och riskerna med det är liknande.
Varför gör apptillverkarna så här? För att det är enkelt för användaren, och är det enkelt för användaren blir det fler nedladdningar och mer pengar, det är det enkla svaret. Whatsapp skulle aldrig ha blivit så populärt om det inte bara var att ladda ned appen och tuta och köra.
Jag är hundra procent säker på att fler appar än man tror har dålig autentisering och andra stora säkerhetsbrister. Är man mån om att hålla sin privata kommunikation privat så får man nog vara lite varsam med vad man laddar ner. Generellt bör man vara rejält tveksam om en app inte kräver en riktig inloggning – då är risken stor att allt inom den sker för öppen ridå.
TEXT: @NilssonAnders är teknikchef på Eurosecure och skribent på Säkerhetsbloggen. (Foto: Abulhussein)