Exploit van WhatsApp en Telegram verleent toegang tot persoonlijke mediabestanden ondanks end-to-end-versleuteling, ontdekt Symantec
WhatsApp en Telegram beschikken over end-to-end-codering. De nieuwste exploit die door cybersecuritybedrijf Symantec is ontdekt, verleent echter toegang tot persoonlijke, privé- en vertrouwelijke media. Het nieuwste beveiligingsprobleem legt alle soorten inhoud bloot die worden verzonden en ontvangen op deze twee populaire instant messaging-platforms. De fout is vooral zorgwekkend omdat WhatsApp, dat eigendom is van Facebook, en Telegram miljoenen dagelijkse gebruikers blijven verzamelen. Bovendien berust de fout op een inherente verwerkingsarchitectuur voor de media-ontvangst- en opslagtechnieken.
Cyberbeveiligingsbedrijf Symantec heeft het bewijs van een nieuwe exploit die mogelijk WhatsApp- en Telegram-mediabestanden kan blootleggen. Het bedrijf verwees naar het beveiligingsprobleem als Media File Jacking. De exploit blijft ongepatcht. Hoewel de hack niet eenvoudig te implementeren is, heeft hij de mogelijkheid om alle media bloot te leggen die op WhatsApp en Telegram worden uitgewisseld. In eenvoudige bewoordingen: geen gegevens, of het nu persoonlijke foto's of bedrijfsdocumenten zijn, zijn veilig. Met behulp van de exploit hebben hackers niet alleen toegang tot alle media-inhoud, maar kunnen ze deze mogelijk ook manipuleren. Onnodig toe te voegen, dit vormt een ernstig beveiligingsrisico voor de gebruikers van de twee populairste internetafhankelijke instant messaging-platforms. Wat de exploit nog bedreigender maakt, is de sterke perceptie onder de gebruikers over de beveiligingsmechanismen zoals end-to-end-codering die deze nieuwe generatie IM-apps zogenaamd immuun maken voor privacyrisico's.
Wat is de exploitbedreigende gebruikersinhoud van WhatsApp en Telegram en hoe werkt het?
Symantec noemt de nieuwste exploit die mogelijk WhatsApp- en Telegram-media-inhoud blootlegt, ‘Media File Jacking’. In wezen is de hack gebaseerd op een vrij oud en inherent proces dat media verwerkt die door de apps worden ontvangen. Het proces is niet alleen verantwoordelijk voor het ontvangen van de media, maar het schrijven ervan naar het verwijderbare flash-geheugen van de apparaten waarop WhatsApp of Telegram is geïnstalleerd.
De exploit is gebaseerd op het tijdsverloop tussen het moment waarop mediabestanden die via de apps worden ontvangen, naar een schijf worden geschreven en wanneer ze worden geladen in de chatgebruikersinterface van een app. Met andere woorden, er vinden drie verschillende processen plaats. Het eerste proces ontvangt de media, het tweede slaat hetzelfde op en het derde laadt de media op het chatplatform voor instant messaging voor consumptie. Hoewel al deze processen zeer snel verlopen, vinden ze opeenvolgend plaats, en de exploit grijpt in wezen in, onderbreekt en voert zichzelf uit tussen de twee. Daarom is het mogelijk dat de media die op de chatplatforms worden weergegeven, niet authentiek zijn als ze worden onderschept door de ‘Media File Jacking’-exploit.
Als het beveiligingslek correct wordt misbruikt, kan een kwaadwillende externe aanvaller mogelijk misbruik maken van de gevoelige informatie in de media. Wat echter nog zorgwekkender is, is dat de aanvaller de informatie ook kan manipuleren. Beveiligingsonderzoekers geven aan dat hackers toegang kunnen krijgen tot media, zoals persoonlijke foto's en video's, bedrijfsdocumenten, facturen en spraakmemo's, en ermee kunnen knoeien. Dit scenario is exponentieel gevaarlijk vanwege het vertrouwen dat is opgebouwd tussen de twee gebruikers die communiceren op WhatsApp en Telegram. Met andere woorden, aanvallers kunnen bij het gebruik van deze apps gemakkelijk profiteren van de vertrouwensrelaties tussen een afzender en een ontvanger. Deze sociale parameters kunnen gemakkelijk worden misbruikt voor persoonlijk gewin, vendetta of om alleen maar grote schade aan te richten.
Hoe kunnen WhatsApp- en Telegram-gebruikers zichzelf beschermen tegen de nieuwe beveiliging die ‘Media File Jacking’ exploiteert?
Symantec heeft enkele scenario's genoemd waarin de ‘Media File Jacking’-exploit kan worden gebruikt, meldde Venture Beat.
- Beeldmanipulatie: een schijnbaar onschuldige, maar eigenlijk kwaadaardige app die door een gebruiker is gedownload, kan persoonlijke foto's in bijna realtime manipuleren zonder dat het slachtoffer het weet.
- Betalingsmanipulatie: een kwaadwillende actor kan een factuur manipuleren die door een leverancier naar een klant is gestuurd, om de klant te misleiden tot het doen van een betaling naar een onwettig account.
- Spoofing van audioberichten: met behulp van spraakreconstructie via deep learning-technologie kan een aanvaller een audiobericht wijzigen voor eigen persoonlijk gewin of grote schade aanrichten.
- Nepnieuws: in Telegram gebruiken beheerders het concept van "kanalen" om berichten uit te zenden naar een onbeperkt aantal abonnees die de gepubliceerde inhoud gebruiken. Een aanvaller kan de mediabestanden die in een vertrouwde kanaalfeed verschijnen in realtime wijzigen om onwaarheden te communiceren
Het cybersecuritybedrijf heeft aangegeven dat WhatsApp- en Telegram-gebruikers het risico van Media File Jacking kunnen verkleinen door de functie uit te schakelen waarmee mediabestanden op externe opslag worden opgeslagen. Met andere woorden, gebruikers mogen deze apps geen toestemming geven om de gedownloade media op verwisselbare micro SD-kaarten op te slaan. De apps moeten worden beperkt tot het opslaan van gegevens in het interne geheugen van de apparaten waarop deze instant messaging-apps zijn geïnstalleerd. Symantecs onderzoekers Yair Amit en Alon Gat, die deel uitmaken van het Modern OS Security-team van Symantec, hebben hierover een paper geschreven en noemen enkele andere technieken die hackers gebruiken. Ze hebben ook enkele aanvullende technieken genoemd voor gegevensbescherming voor WhatsApp- en Telegram-gebruikers.
Symantec waarschuwt WhatsApp- en Telegram-team over de nieuwe beveiligingsuitbuiting die de media van gebruikers blootstelt aan hackers:
Symantec heeft zijn malwaredetectie-engines geaccrediteerd om apps te detecteren die misbruik maken van de beschreven kwetsbaarheid. Het gaf aan dat het dit platform was dat voor het eerst enige verdachte activiteit vaststelde met betrekking tot mediabeheer op WhatsApp en Telegram. Overigens drijven de malwaredetectie-engines van Symantec Symantec Endpoint Protection Mobile (SEP Mobile) en Norton Mobile Security aan.
Het cybersecuritybedrijf bevestigde dat het Telegram en Facebook / WhatsApp al heeft gewaarschuwd over de kwetsbaarheid van Media File Jacking. Daarom is het vrij waarschijnlijk dat de respectieve bedrijven snel patches of updates kunnen implementeren om hun gebruikers tegen deze nieuwe exploit te beschermen. Voorlopig wordt gebruikers echter aanbevolen om te voorkomen dat de apps ontvangen media opslaan op de interne opslag van hun smartphones.
WhatsApp, eigendom van Facebook, en Telegram zijn tegenwoordig verreweg twee van de populairste instant messaging-platforms. Gezamenlijk hebben de twee platforms een zeer indrukwekkend en verbluffend gebruikersbestand van 1,5 miljard gebruikers. De meerderheid van de WhatsApp en Telegram vertrouwt erop dat hun apps de integriteit van zowel de identiteit van de afzender als de inhoud van het bericht zelf beschermen. Deze platforms zijn allang overgeschakeld op end-to-end-codering, wat belooft dat geen enkele tussenpersoon kan achterhalen welke informatie wordt uitgewisseld.