En studie utförd av forskare vid Ruhruniversitetet i Bochum visar att hackare kan lägga till personer i gruppchattar på WhatsApp
Under åren har WhatsApp investerat kraftigt i säkerheten för användardata. Tvåfaktorsautentisering infördes och end-to-end-kryptering av samtal tack vare Open Whisper Systems. Särskilt det senare beslutet har förbättrat integriteten och skyddat användarnas konversationer från intrång av hackare.
Att införa end-to-end-kryptering i applikationen har välkomnats av både användare och branschexperter, som har väntat länge på ett sådant beslut från WhatsApp. Användningen av end-to-end-kryptering bör ge en känsla av att användarnas uppgifter är säkra och att ingen kan ta del av deras samtal. Men i verkligheten är det inte så. Det visar forskning från Ruhruniversitetet i Bochum (Tyskland), som har upptäckt en brist i WhatsApp-servrarna som skulle kunna äventyra säkerheten för användarnas data. Bristen påverkar endast gruppchattar och inte enskilda chattar.
Vad forskarna hittade
Studien presenterades på säkerhetskonferensen Real World Crypto och blev genast omtalad. Forskningen avslöjade brister i tre program för snabbmeddelanden: WhatsApp, Signal och Threema. Problemen i de två sistnämnda apparna är lätta att åtgärda, men felet i WhatsApp kan potentiellt äventyra alla gruppkonversationer. Enligt forskarna skulle en brist göra det möjligt för vem som helst med tillgång till WhatsApp-servrarna att lägga till personer i gruppkonversationer utan att be administratörer om samtycke. På grund av detta fel kunde hackare ta sig in i chattar utan att någon märkte det och börja samla in användardata. Forskarna påpekar att risken är att hackare kan ta sig in på WhatsApp-servrarna och börja lägga till personer i grupper. Regeringar kan också sätta press på meddelandeappen för att kontrollera gruppkonversationer under folkliga uppror.
Vad hackare kan göra
En inloggning till WhatsApp-servrarna skulle ge hackare absolut kontroll över gruppkonversationer. När någon läggs till i en chatt visas ett meddelande i chatten för att varna andra användare. Om användaren har lagts till av en hackare genom manipulering på servernivå kan en gruppadministratör varna andra användare om att han inte har lagt till någon. Men om gruppen är mycket aktiv kan meddelandet om att en ny användare har lagts till missas i 99 % av fallen. Genom att ha direkt kontroll över servrarna har hackare också andra befogenheter. De kan till exempel bestämma vilka meddelanden som ska visas i chatten och även skicka olika meddelanden till gruppadministratörerna. På så sätt går intrånget nästan oupptäckt och angriparna kan i tysthet samla in människors data.
WhatsApp på larm
Ruhruniversitetets forskare sa att de varnade WhatsApp i juli förra året, men personalen på appen för snabbmeddelanden ansåg inte att felet var tillräckligt viktigt för att förtjäna den kontanta belöning som Facebook erbjuder till alla som upptäcker en brist i en av sina plattformar. Några WhatsApp-anställda bekräftade problemet för Wired, men betonade att när en ny medlem läggs till i en chatt meddelas alla användare via ett meddelande. Detta skulle säkra användarnas data.
Hur man löser problemet
Enligt forskarna kan problemet enkelt lösas genom att WhatsApp gör en enkel ändring. Lägg till en typ av tvåfaktorsautentisering för att lägga till en användare i en ny grupp: en nyckel som endast gruppadministratören har tillgång till. Vi får se om WhatsApp väljer att följa forskarnas råd.