WhatsApp afviser sårbarhedsrapport fra kendt sikkerhedsselskab

Illustration: dennizn/Bigstock
Rapporten påpeger sårbarheder, som gør, at beskeder kan manipuleres.

Sikkerhedsforskere hos Check Point Research har fundet det, de omtaler som flere sårbarheder, i den Facebook-ejede beskedtjeneste WhatsApp. Tjensten har mere end 1,5 milliarder brugere. De angivne sårbarheder skulle gøre det muligt for ondsindede aktører at manipulere med både private beskeder og gruppebeskeder.

Tre eksempler

Sikkerhedsforskerne nævner tre eksempler, som de mener udgør sårbarheder i systemet.

  • Man kan bruge citatfunktionen i en gruppesamtale til at ændre identiteten af afsenderen af en tidligere besked, selv om denne bruger ikke er medlem af gruppen. Selv ikke-eksisterende brugere, som ‘Mickey Mouse’, kan angives som afsender.
  • Man kan ændre teksten i svarbeskeder fra andre.
  • Man kan sende en gruppebesked, som kun én deltager i gruppen kan se. Hvis modtageren svarer på beskeden, vil hele gruppen se svaret.

Sikkerhedsforskerne har skrevet en detaljeret teknisk analyse af de angivelige sårbarheder, som blev fundet, efter de vendte WhatsApps krypteringsalgoritme om. Analysen er tilgængelig her.

I videoen nedenfor demonstreres svaghederne.

WhatsApp er efter sigende blevet varslet om opdagelserne, men selskabet har ikke iværksat nogen tiltag mod dem.

Spredning af falske nyheder

New York Times har været i kontakt med begge selskaber og skriver, at WhatsApp er blevet brugt til at cirkulere falske eller overdrevne påstande om blandt andet kidnapning af børn i Indien og bivirkningerne af vacciner mod gul feber i Brasilien. Blandt fordomsfulde, meget lidt kritiske eller ureflekterede modtagere kan sådanne falske påstande føre til alvorlige konsekvenser.

Det er ingenting, som tyder på, at svaghederne, som Check Point Research har fundet, er blevet udnyttet i virkelige tilfælde. Men selskabet mener, at brugerne er afhængige af beskedernes integritet, og at WhatsApp må gøre noget for at forhindre manipulation som denne.

»It's not a bug, it's a feature«

WhatsApp mener på sin side, at det hverken drejer sig om sårbarheder eller fejl. I stedet er det meningen, at systemet skal fungere på den måde. Det fortæller Carl Woog, en talsmand for selskabet, til New York Times.

Angående muligheten for at ændre på citater sammenligner han det med, at nogen ændrer på citeret tekst i en email. Woog mener, det vil indebære en enorm privacyrisiko, hvis systemet skulle verificere, at alle citater fra en anden besked ikke er blevet ændret.

Blant de væsentligste egenskaber i WhatsApp-tjenesten er end-to-end-krypteringen, som forhindrer, at andre end den faktiske modtager kan læse beskederne, som er blevet sendt. Det betyder, at man kan kontrollere indholdet i beskederne på serversiden uden at droppe end-to-end-krypteringen, samt lagre alle beskeder, som sendes, på et centralt sted.

Woog understreger overfor New York Times, at intet af det, Check Point Research har opdaget, har noget med sikkerheden i end-to-end-krypteringen at gøre.

Ikke besværet værd

WhatsApp mener tilsyneladende, at heller ikke de andre svagheder, som Check Point Research har fundet, er så store, at det er besværet værd at gøre noget ved dem. Dette fordi de allerfleste beskeder bliver sendt i én-til-én-samtaler, og fordi de fleste gruppesamtaler sker mellem en lille gruppe mennesker, hvor alle oftest kender hinanden.

Faren for, at nogen skulle kunne infiltrere sådan en gruppe, anses af WhatsApp som værende lille.

Selv om WhatsApp anses som temmelig sikkert at bruge, er der flere gange blevet fundet sårbarheder, som nok må anses for at være mere alvorlige end dette.

Denne artikel er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017