Krönika: Därför borde du sluta använda WhatsApp

GästskribentPublicerad 18/9 2012

13 kommentarer


Nästan alla känner till Whatsapp. Obegränsade meddelanden som inte påverkar telefonräkningen och smidig funktionalitet har gjort Whatsapp till en av världens populäraste appar för smartphones. Men vad många inte känner till är dess stora säkerhetsbrister. Som är så allvarliga att det enda raka är att sluta använda appen – tills tillverkarna täpper till luckorna.
Och Whatsapp är långt ifrån den enda appen som är säkerhetsmässigt tveksam.

Den extremt populära messengerappen Whatsapp hanterar varje dag miljarder privata meddelanden i sina nätverk. Kritiken har varit hård mot att meddelanden skickats klartext ända fram till för en månad sedan. Nu har man smetat på lite kryptering, men den har visat sig vara ett tunt lager och man verkar inte riktigt ha velat redovisa hur man har gjort.
Nu har en ytterligare en säkerhetslucka hittats. Om man använder Whatsapp i ett trådlöst nätverk är det skrämmande enkelt att ta över användarkontot och komma åt meddelanden och uppgifter om enheterna de skickas från.
Orsaken är att Whatsapp fungerar på ett lite speciellt sätt eftersom den inte kräver någon inloggning som verifikation (och nu blir det lite tekniskt en stund). Istället använder Whatsapp telefonnummer och IMEI eller MAC-adress för autenticering (login/password). Den som är i närheten av samma Wifi-nätverk kan enkelt hitta MAC-adressen, men även utan kan man prova sig fram. På iOS så använder Whatsapp telefonnumret som login och en hash av MAC som lösenord. Det betyder att om du kan någons telefonnummer, och antingen bruteforcar deras MAC-adress, eller kan vara i närheten när telefonen är i ett trådlöst nätverk, så får du dess MAC-adress. Med dessa kan du sedan autenticera mot Whatsapps servrar för att läsa och leverera meddelanden i användarens namn. Kort sagt, istället för att använda ett användarnamn och lösenord för att logga in, så använder Whatsapp (och många andra appar) information och ID-nummer från telefonen för att autenticera sig.
Vad betyder det här för användaren? Helt enkelt att man ganska enkelt kan läsa andras meddelanden och det är en tydlig dealbreaker för en app av den här typen. Det här ger inte bara obehöriga ett bra tillfälle att ta del av privat information, utan dessutom en möjlighet att injicera egen information, till exempel spam eller phishing-länkar som ser ut att komma från någon du känner.
Det blir värre det är dessutom omöjligt att kolla upp om ett konto har blivit hackat eftersom det egentligen inte finns något konto. Bara om du får respons på ett meddelande du inte har skickat själv, eller aldrig får meddelanden du borde fått, skulle du kunna börja misstänka att något underligt är i görningen.
Kort sagt är det här väldigt allvarligt. Om leverantören inte agerar mycket snabbt för att lösa problemen så rekommenderar jag absolut att man avinstallerar appen. Som användare bör man även sätta press på leverantören, man ska kunna kräva mer av ett appföretag av den kalibern.
Tydligen så har utvecklarna av Whatsapp även löst krypteringen på helt olika sätt på iOS och Android. Det tyder på att de har separata avdelningar/programmerare som löser det ”på sitt eget sätt”. Det är skrämmande när det kommer till appar som är så stora.
Det finns en anmärkningsvärd parallell till det här fallet – UUID-läckan från ett stort register av Apple-enheter som skedde för ett par veckor sedan. Det finns appar som använder UUID för autentisering ungefär på samma sätt som Whatsapp gör här och riskerna med det är liknande.
Varför gör apptillverkarna så här? För att det är enkelt för användaren, och är det enkelt för användaren blir det fler nedladdningar och mer pengar, det är det enkla svaret. Whatsapp skulle aldrig ha blivit så populärt om det inte bara var att ladda ned appen och tuta och köra.
Jag är hundra procent säker på att fler appar än man tror har dålig autentisering och andra stora säkerhetsbrister. Är man mån om att hålla sin privata kommunikation privat så får man nog vara lite varsam med vad man laddar ner. Generellt bör man vara rejält tveksam om en app inte kräver en riktig inloggning – då är risken stor att allt inom den sker för öppen ridå.
TEXT: @NilssonAnders är teknikchef på Eurosecure och skribent på Säkerhetsbloggen. (Foto: Abulhussein)

Ämnen: , , , , ,

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

13 kommentarerFlest rösterSenasteÄldst

  1. Adrian says:
    18 september 2012 kl. 16:12

    Bra artikel, använder själv WhatsApp och hade ingen aning om säkerhetsbristerna. Det vore trevligt att få exempel på några andra appar som är säkra och fungerar på liknande sätt.

    Svara
    • apan apansson says:
      18 september 2012 kl. 19:07

      Ja, hur är det med appen Kik som ”kidsen” använder?

      Svara
    • Anders Nilsson says:
      19 september 2012 kl. 07:09

      Ett problem med många appar/tjänster/program är att de inte är öppna med hur de sköter säkerheten. Eftersom utvecklare också ofta vill skydda sina program från piratkopiering och analys av bland annat hackare och konkurrenter så är det vanligt att man krypterar eller ”obfuskerar” (eng. obfuscate) sin kod. Man gör den helt enkelt svårläst om någon skulle försöka se hur programmet fungerar.
      Oftast krävs en mer djupgående analys av varje app för att veta om den är sårbar för något, eller ”dåligt utvecklad”. Utöver det måste man även titta på trafiken mellan appen och dess servrar, se om servrarna kan vara sårbara för något, och mycket annat.
      Rent generellt.. appar som pratar med en server, men inte har stöd för att autentisera sig med t.ex. lösenord, Facebook eller verifierings-sms måste ha något annat sätt för att identifera enheten mot servern. För vissa appar spelar det ingen roll (fisappar, eller spel). De har oftast ingen viktig information sparad, och det gör inget om inställningar försvinner om man installerar om sin telefon. För andra appar, som är knutna till telefonen/användaren på något sätt (t.ex. meddelandeappar), så är det (tyvärr!) ett varningstecken om ”allting bara fungerar” utan e-postadress, lösenord eller verifiering.

      Svara
      • Anders Nilsson says:
        19 september 2012 kl. 07:12

        För att tillägga.. man kan ibland hitta intressant information bara genom att t.ex. söka på ”APPNAMN security concerns” eller liknande, men man kan även snabbt bli mörkrädd över hur många appar som kräver onödiga rättigheter, eller utan anledning kopierar hela adressboken.

        Svara
  2. Mattias says:
    18 september 2012 kl. 16:20

    Hur är det med iMessage… Det sker ju också via datanät och inte mobilnät. Är det säkrare? Nån som vet nåt om Viber? Skype utgår jag ifrån att det är krypterat, eller?

    Svara
    • Anders Nilsson says:
      19 september 2012 kl. 06:58

      Både iMessage och Skype är krypterade, och Viber har varit krypterat rätt länge det med.
      Ett problem är dock att det (naturligtvis) ändå alltid kan dyka upp säkerhetsproblem. Skype har haft ett par problem (möjlighet att köra skadlig kod, möjlighet att få användarens IP-adress). iMessage är dock fortfarande rätt nytt, och så vitt jag vet finns inga kända säkerhetshål där (än?).
      Jag har inte studerat Viber i detalj, men det är ett bra tecken att de har ”verification SMS” som skickas till enheten. Rent tekniskt så innebär det att de skulle kunna ha en mycket bättre säkerhetslösning+kryptering än vad Whatsapp har.
      När det gäller mobilappar (t.ex. både Viber och Whatsapp) så finns det fler aspekter också. Båda de apparna skickar över hela din kontaktlista till utvecklarnas servrar när appen startar. De gör det för att kunna matcha din kontaktlista mot vilka andra som har appen installerad. Då uppstår naturligtvis frågetecken över om den informationen används till något annat, eller om/hur länge den lagras, och kanske kan hackas.

      Svara
  3. ali says:
    21 oktober 2012 kl. 18:45

    Den äg bra

    Svara
  4. Martin Sepehri says:
    12 februari 2013 kl. 23:39

    it is ok

    Svara
  5. Ida says:
    11 mars 2013 kl. 21:26

    Hur är det om man inte använder trådlöst nätverk utan har internet i simkortet?

    Svara
    • Anders Nilsson says:
      12 mars 2013 kl. 09:09

      Då kan man inte lika lätt komma åt din telefons nätverksadress, vilket gör det mycket svårare.
      Rent generellt så brukar jag rekommendera att man inte använder öppna trådlösa nätverk, utan istället mobilens egna uppkoppling, då det förhindrar/försvårar många attacker.

      Svara
  6. Behöver Facebook oroa sig? | Stampen Media Group says:
    16 april 2013 kl. 12:47

    […] – och det kanske de måste göra också med de säkerhetsbrister som påtalades i ett inlägg på svenska Ajour i […]

    Svara
  7. saad saad says:
    11 oktober 2013 kl. 23:33

    Om du

    Svara