Hét informatieplatform over cloudoplossing en -bedrijven

Contact

“Chatapps eenvoudiger aan te vallen door nummer als account”

“Chatapps eenvoudiger aan te vallen door nummer als account”
16 May 2019 20:12 uur

Het gebruik van het telefoonnummer als account door chatapps zoals Signal, Telegram en WhatsApp is een inherente ontwerpfout en maakt het eenvoudiger om gebruikerEen persoon of een apparaat dat gebruik maakt van automatiseringsdienstens aan te vallen. Dat stelt Costin Raiu, directeur van het Global Research and Analysis Team van antivirusbedrijf Kaspersky Lab.

Raiu reageerde op het nieuws dat een zerodaylek in WhatsApp is gebruikt om gebruikers met spyware te infecteren. Aanvallers hoefden het slachtoffer alleen via WhatsApp te bellen. Interactie van het slachtoffer was niet vereist. Dit houdt in dat de aanvallers alleen het telefoonnummer van het doelwit hoeven te hebben. Iets wat volgens Raiu een inherente ontwerpfout is.

“Dit maakt het eenvoudiger voor iedereen om kwetsbaarheden in deze apps te misbruiken en je aan te vallen via niets anders dan je telefoonnummer”, aldus de onderzoeker in een tweet die hij op persoonlijke titel verstuurde. “Het is eenvoudig om iemands telefoonnummer te bemachtigen, maar niet zo eenvoudig om iemands ID op een willekeurige messenger te krijgen. Het vereenvoudigt de aanvalsvector enorm, wat het aanvallen veel eenvoudiger maakt.”

Volgens Raiu is het gebruik van het telefoonnummer als account een typisch voorbeeld van het opofferen van security voor gemak. “Het is echter niet nodig. Je kunt beide krijgen, zoals Threema laat zien.” Threema is een chatapp dat niet van het telefoonnummer afhankelijk is. Elke gebruiker krijgt een willekeurig gegenereerd achtcijferig Threema ID dat als uniek adres fungeert. Bron: security.nl 14-5-19

  • Nederland ICT