WhatsApp-berichten voor andere Android-apps eenvoudig te stelen

Abonneer je gratis op Techzine!

Uit onderzoek van Bas Bosschert blijkt dat WhatsApp-berichten op Android allesbehalve veilig worden opgeslagen. Het berichtenarchief van WhatsApp wordt namelijk op de SD-kaart opgeslagen en is daardoor ook te bereiken door andere apps. Vervolgens kunnen deze bestanden worden verstuurd naar personen met minder goede intenties en uiteindelijk worden gelezen.

WhatsApp is op dit moment de meest populaire app om berichten mee te versturen. Hoewel veel gesprekken weinig waarde zullen hebben, zijn veel mensen toch wel gesteld op hun privacy en zien ze hun berichten niet graag in de handen van derden vallen.

Dat blijkt nu helaas wel mogelijk te zijn, de gehanteerde methoden en beveiliging van WhatsApp blijkt onvoldoende. De WhatsApp-berichten worden namelijk in een gecodeerde SQLite3-database opgeslagen op de SD-kaart van de smartphone. Deze bestanden zijn echter ook te bereiken door andere applicaties en kunnen dus worden geopend en verzonden naar externe webservers, bijvoorbeeld een webserver die in handen is van mensen met minder goede intenties.

Het enige wat de berichten dan nog beschermt is de door WhatsApp toegepaste encryptie. In recentere versies van WhatsApp worden de berichten namelijk versleuteld opgeslagen, in oude versies was überhaupt geen sprake van versleuteling. Deze encryptie blijkt echter een wassen neus te zijn, op 5 april van 2012 is er op XDA-developers al een tooltje geplaatst waarmee je de encryptie ongedaan kan maken. Een SQLite3-database is overigens eenvoudig te converteren naar bijvoorbeeld Excel, zodat berichten eenvoudig en snel kunnen worden gelezen.

WhatsApp heeft tot op heden niet gereageerd op het onderzoek en het is ook onduidelijk wat WhatsApp voor actie gaat ondernemen. Het feit dat de encryptie al bijna twee jaar geleden is gekraakt, is iets wat de makers van WhatsApp wel degelijk kwalijk kan worden genomen. Dit kan voor hun geen nieuws zijn, omdat XDA-developers een zeer bekend forum is. WhatsApp had in de afgelopen maanden al lang een andere vorm van encryptie kunnen uitrollen.

Dat WhatsApp ervoor kiest om de berichten op het toestel op te slaan, is niet zo vreemd. Het probleem is alleen dat de archiefbestanden op de SD-kaart moeten worden opgeslagen omdat de datamap van de applicatie niet te groot mag worden. Bestanden op de SD-kaart zijn echter door alle apps met rechten tot de SD-kaart te benaderen. WhatsApp zal dus op zoek moeten naar betere encryptie en Google zou er goed aan doen om Android zo aan te passen dat applicaties de mogelijkheid krijgen grotere hoeveelheden data op te slaan, zonder dat externe apps erbij kunnen.