WHATSAPP

WhatsApp avviser sårbarhetsrapport fra kjent sikkerhetsselskap

Skal ha påpekt sårbarheter som gjør at mange meldinger kan manipuleres.

Check Point Research har funnet sårbarheter i WhatsApp som WhatsApp mener at ikke er sårbarheter.
Check Point Research har funnet sårbarheter i WhatsApp som WhatsApp mener at ikke er sårbarheter. Foto: Reuters/Dado Ruvic
Harald BrombachHarald BrombachNyhetsleder
9. aug. 2018 - 05:00

Sikkerhetsforskere hos Check Point Research har funnet det de omtaler som flere sårbarheter i den Facebook-eide meldingstjenesten WhatsApp, som skal ha mer enn 1,5 milliarder brukere. De angivelige sårbarhetene skal gjøre det mulig for ondsinnede å manipulere både private meldinger og gruppemeldinger. 

Tre eksempler

Sikkerhetsforskerne nevner tre eksempler som de mener utgjør sårbarheter i systemet.

  1. Bruk sitatfunksjonen i en gruppesamtale for å endre identiteten til avsenderen av en tidligere melding, selv om denne brukeren ikke er medlem av gruppen. Selv ikke-eksisterende brukere, som «Mikke Mus», kan angis som avsender.
  2. Endre teksten i svarmeldinger fra noen andre.
  3. Send en gruppemelding som kun én deltaker i gruppen kan se. Dersom mottakeren svarer på meldingen, vil hele gruppen se svaret.

Sikkerhetsforskerne har skrevet en detaljert, teknisk analyse av de angivelige sårbarhetene, som skal ha blitt funnet etter at de hadde reversert WhatsApps krypteringsalgoritme. Analysen er tilgjengelig her.

I videoen nedenfor demonstreres svakhetene.

WhatsApp skal ha blitt varslet om oppdagelsene, men selskapet skal i alle fall så langt ikke ha gjort noe med dem.

Spredning av falske «nyheter»

New York Times har vært i kontakt med begge selskaper og skriver at WhatsApp har blitt brukt til å sirkulere falske eller overdrevne påstander om blant annet barnekidnappere i India og bivirkningene av gulfebervaksiner i Brasil. Blant fordomsfulle, lite kritiske eller lite kunnskapsrike mottakere kan slike falske påstander føre til alvorlige konsekvenser.

Det er ingenting som tyder på at svakhetene som er gjort hos Check Point Research, har blitt utnyttet i virkelige tilfeller. Men selskapet mener at brukerne avhenger av integriteten til meldingene og at WhatsApp må gjøre noe for å forhindre slik manipulering. 

«It's not a bug, it's a feature»

WhatsApp mener på sin side at dette verken dreier seg om sårbarheter eller feil. I stedet er det slik det er meningen at systemet skal fungere. Dette forteller Carl Woog, en talsmann for selskapet, til New York Times. 

Angående muligheten for å endre på sitater, sammenligner han den med at noen endrer på sitert tekst i en epost. Woog mener det vil innebære en enorm personvernrisiko dersom systemet skulle verifisere at ethvert sitat av en annen melding ikke har blitt endret på. 

Kan svekke personvernet

Blant de vesentligste egenskapene i WhatsApp-tjenesten er ende-til-ende-krypteringen, som forhindrer at andre enn den faktiske mottakeren kan lese meldingene som har blitt sendt. Det betyr at man kan kontrollere innholdet i meldingene på serversiden uten droppe ende-til-ende-krypteringen, samt å lagre alle meldingene som blir sendt, på et sentralt sted.

Woog understreker overfor New York Times at ingenting av det Check Point Research har oppdaget, har noe med sikkerheten til ende-til-ende-krypteringen å gjøre.

Ikke verdt bryet

WhatsApp mener tilsynelatende at heller ikke de andre svakhetene som Check Point Research har funnet, er så store at det er verdt bryet å gjøre noe med dem. Dette fordi de aller fleste meldingene blir sendt i én-til-én-samtaler, og fordi de fleste gruppesamtaler skjer mellom en liten gruppe mennesker hvor alle vanligvis kjenner hverandre.

Faren for at noen skal kunne infiltrere en slik gruppe, anses av WhatsApp som liten.

Selv om WhatsApp anses som temmelig sikkert å bruke, har det flere ganger blitt funnet sårbarheter som nok må anses som mer alvorlige enn dette.

Det skal også ha vært gjennom en eller annen form for hacking av WhatsApp at de private bildene av håndballspilleren Nora Mørk ble funnet og senere spredt, uten at detaljene om hackingen ser ut til å ha blitt offentliggjort. 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.