WhatsApp hatte 4 eklatante SSL-Sicherheitslücken, die die 430 Millionen Benutzer-IDs und Telefonnummern gefährdet hätten

Nur wenige Tage nachdem Facebook die Übernahme von WhatsApp, der plattformübergreifenden mobilen Messaging-App, angekündigt hatte, haben eine Gruppe von Forschern eklatante Lücken im Sicherheitsapparat von WhatsApp gefunden. Diese Lücken wurden identifiziert und zusammengefasst von Praetorian. Praetorian hat seine neue Plattform zur Sicherheitsüberprüfung mobiler Anwendungen, Project Neptune, an WhatsApp getestet und Project Neptune lieferte einige erstaunliche Ergebnisse.

Nur zwei Tage bevor WhatsApp in den Nachrichten war, aufgrund der berichteten Übernahme durch den sozialen Netzwerk-Giganten Facebook für 19 Milliarden Dollar. Am Tag des Kaufs hatte WhatsApp 430 Millionen aktive Benutzer und fügte täglich 1 Million Benutzer hinzu. Stellen Sie sich vor, die Namen und Telefonnummern von 430 Millionen Benutzern würden online geleakt. Das ist nur eine fantastische Theorie, wäre aber Realität geworden, hätte Project Neptune seinen Sicherheitsbericht nicht geliefert.

Im Hinblick auf die Mega-Leaks von Snapchat im Internet haben die Sicherheitsmitarbeiter von WhatsApp den Bericht von Project Neptune zur Kenntnis genommen und arbeiten fleißig daran, die Probleme zu beheben, im Gegensatz zu Snapchat, das sich weigerte, den Vorfall überhaupt anzuerkennen und sich einer peinlichen Situation gegenübersah, in der 4,6 Millionen Benutzer-IDs online geleakt wurden.

Praetorian erklärt, wie es gelungen ist, in die Sicherheitsanfälligkeiten von WhatsApp einzudringen. Project Neptune ist Praetorians neue Plattform zur Sicherheitsüberprüfung mobiler Anwendungen, die es Unternehmen ermöglicht, mit den schnellen Entwicklungszyklen mobiler Anwendungen Schritt zu halten, indem kontinuierliche, bedarfsorientierte Sicherheitsüberprüfungen integriert werden. Und Praetorian hat WhatsApp als Beta-Testprogramm für sein neu gestartetes Project Neptune ausgewählt.

Innerhalb von Minuten nach dem Start der Sicherheitsüberprüfung mobiler Anwendungen von Project Neptune an WhatsApp konnte es bis zu 4 SSL-bezogene Sicherheitsprobleme identifizieren, die die Vertraulichkeit der WhatsApp-Benutzerdaten gefährden, die während der Übertragung an Backend-Server gesendet werden. Dies ist eine Art Hintertür, die NSA und ihre BigEyes lieben, um Benutzerdaten in Echtzeit zu gewinnen. Es ermöglicht ihnen oder einem Cyberkriminellen im Grunde, die Verbindung zu übernehmen und dann die Verschlüsselung herabzustufen, damit sie sie brechen und den Datenverkehr überwachen oder Benutzerdaten herunterladen können. Diese Sicherheitsprobleme setzen die Benutzerinformationen und Kommunikationen von WhatsApp einem Risiko aus.

Praetorian nahm dann Kontakt mit den Ingenieuren von WhatsApp auf, und sie sollen sich um alle Sicherheitsprobleme kümmern, die von Project Neptune aufgezeigt wurden. Im Folgenden sind die von Project Neptune festgestellten Probleme und die von WhatsApp ergriffenen Maßnahmen aufgeführt.

SSL-Pinning nicht durchgesetzt WhatsApp führt kein SSL-Pinning durch, wenn eine vertrauenswürdige Verbindung zwischen den mobilen Anwendungen und den Backend-Webdiensten hergestellt wird. Ohne durchgesetztes SSL-Pinning könnte ein Angreifer die Verbindung zwischen den mobilen Anwendungen und den Backend-Webdiensten übernehmen. Dies würde es dem Angreifer ermöglichen, Benutzeranmeldeinformationen, Sitzungsidentifikatoren oder andere sensible Informationen abzufangen.
Update 21.02.2014: WhatsApp arbeitet aktiv daran, SSL-Pinning hinzuzufügen.*

Unterstützung für SSL-Exportverschlüsselungen aktiviert Die Backend-Server von WhatsApp erlauben die Verwendung schwacher 40-Bit- und 56-Bit-Verschlüsselungsschemata. Ohne böswillige Intervention könnte dies kein Problem darstellen, da die mobile Anwendung und der Server die Verschlüsselung aushandeln und sich auf die stärkste Verschlüsselung einigen, die beide unterstützen. Ein Angreifer könnte jedoch die Kommunikation abfangen und gewaltsam auf 40-Bit- oder 56-Bit-DES-Verschlüsselung herabstufen, was Brute-Force-Angriffe auf die Verschlüsselung möglich machen würde. Update 21.02.2014: Wir finden keine Hinweise mehr auf die Unterstützung von Exportverschlüsselungen.

Unterstützung für Null-Verschlüsselungen aktiviert Es wird schlimmer. WhatsApp unterstützt sogar Null-Verschlüsselungen, bei denen es sich um Daten handelt, die verschlüsselt sein sollten, in Wirklichkeit jedoch nicht sind. Null-Verschlüsselungen führen keine Verschlüsselung durch. Das heißt, sie kopieren einfach den Eingabestrom in den Ausgabestrom, ohne Änderungen vorzunehmen. Wenn Null-Verschlüsselungen unterstützt werden und die mobile Anwendung versucht, über SSL mit dem Server zu kommunizieren und beide Parteien keine gemeinsamen Verschlüsselungssuiten unterstützen – als Ergebnis eines böswilligen Abfangens – würde es auf das Senden der Daten im Klartext zurückfallen. Die Unterstützung von Null-Verschlüsselungen ist nicht etwas, das wir oft antreffen – es ist ziemlich selten. Update 21.02.2014: Wir finden keine Hinweise mehr auf die Unterstützung von Null-Verschlüsselungen.*

Unterstützung für das SSLv2-Protokoll aktiviert WhatsApp wurde auch festgestellt, dass es SSL-Version 2 (v2) unterstützt, die mehrere Schwächen aufweist. SSLv2 ist anfällig für mehrere spezifische Angriffe, die das Abfangen und die Übernahme der Verbindung erfordern. Darüber hinaus verwendet SSLv2 MAC nach der Verschlüsselung und 40-Bit-MACs, die beide als Designfehler gelten. Abhängig von der Zeit und den Ressourcen eines Angreifers könnte jede Kommunikation, die durch SSLv2 geschützt ist, anfällig für Man-in-the-Middle-Angriffe sein, die Datenmanipulation oder -offenlegung ermöglichen könnten. Update 21.02.2014: Wir finden keine Hinweise mehr auf die Unterstützung von SSLv2.*

*Praetorian sagte, dass die Sicherheitstestfälle, die im Project Neptune durchgeführt wurden, nicht-invasiv und begrenzt im Umfang waren und erstaunliche Ergebnisse lieferten. Es hofft, die Genehmigung von Facebook und WhatsApp zu erhalten, um eine umfassende Bewertung und eine gründlichere Sicherheitsbewertung der mobilen Anwendungen und der Backend-Infrastruktur durchzuführen.