Een jaar geleden, in augustus van 2018, vroegen beveiligings­onderzoekers van CheckPoint aandacht voor een lek in WhatsApp Web. Destijds bleek het mogelijk om geciteerde berichten in groepschats te manipuleren. Een kwaadwillende kon zo iedere deelnemer woorden in de mond leggen. Een jaar later bestaat het lek nog steeds en blijkt er meer mogelijk.

De onderzoekers hebben namelijk ontdekt dat dit niet alleen de citeerfunctie treft. Ze konden niet alleen berichten sturen namens iedereen in een groepschat, maar ook berichten in individuele gesprekken vervalsen. Web, dat je ook op een laptop of tablet laat chatten, blijkt een zwakheid te bevatten die dit mogelijk maakt.

Zo werkt het lek in WhatsApp Web

Wat is er precies aan de hand? Het is eigenlijk heel simpel. Gesprekken op WhatsApp worden versleuteld met een cryptografische sleutel die alleen de deelnemers aan een gesprek kunnen gebruiken. Dit beschermt tegen afluisteren. Omdat WhatsApp Web ook gesprekken op een desktop, laptop of tablet moet kunnen tonen, wordt de cryptografische sleutel overgedragen van een telefoon naar een ander apparaat. Het blijkt eenvoudig om die sleutel af te vangen en deze opnieuw te gebruiken om berichten te vervalsen.

WhatsApp Web gebruikt een simpel protocol om berichten te ontvangen en versturen. Data wordt naar de server gestuurd in een JSON-formaat. Een bericht bestaat grofweg uit deze data: {“verzender: account1”, “ontvanger: account2”, “timestamp:”01/01/2019 13:37:01”, “inhoud: dit is het bericht”}. Die data wordt vervolgens versleuteld en naar de server gestuurd. Wat blijkt? Je kunt zelf gewoon de sleutel achterhalen, de namen van de velden aanpassen, het bericht weer versleutelen met de sleutel die uit WhatsApp Web lekt en het resultaat in WhatsApp plakken. Het ziet er dan uit als normaal bericht. Zo kun je dus iedereen woorden in de mond leggen.