Geenstijl

Gisteren werd duidelijk dat het onder de Ping-generatie extreem populaire tooltje WhatsApp een lek bevat waardoor de nummers en chatberichten van gebruikers in verkeerde handen kunnen vallen. Vandaag presenteert GeenStijl nóg een manier om gericht de berichten van je ex / schoonmoeder / baas uit te kunnen checken met als enige benodigdheden een prepaid telefoon zonder beltegoed en een wifiverbinding. Dit alles is mogelijk omdat WhatsApp gebruik maakt van een brakke verificatietechniek, waar onze tipgever het bedrijf maarliefst drie keer op gewezen heeft, alle keren zonder effect. Dus dan maar zo: Als je WhatsApp downloadt wordt er om een telefoonnummer gevraagd om aan het account te koppelen. Om te checken of het opgegeven nummer echt van jou is wordt er vanaf jouw toestel een sms naar jezelf verstuurd. Komt de sms aan dan is de registratie compleet. Maarrr. Wat nou als je beltegoed op is of de T-Mobile netwerkpaal een storing heeft? Dan wordt het verificatiebericht dus niet verstuurd. Onze tipgever ontdekte dat het ding vervolgens wel gewoon in het Postvak UIT van zijn smartphone zat. Hij kopieerde het naar een online sms dienst en verstuurde de sms zo alsnog. Maar hé, bij die online dingen kun je toch ook gewoon een willekeurige afzender kiezen? Dat klopt. En zo is het dus mogelijk om WhatsApp te registreren op het nummer van een Valerio, een Jordy van Loon, een Koen en Sandra. Gewoon die superbetrouwbare verificatietechniek van WhatsApp omzeilen en uitlezen die chatberichten! In dit filmpje zien we onze ethische hacker het demonstreren met een niet bestaand telefoonnummer (netjes!), puur om aan te tonen hoe simpel het is. Conclusie: niet alleen KPN kan uw berichtjes lezen, iedereen kan dat. Privacy is zó 1992.