WhatsApp sloot vorig jaar een belangrijk beveiligingslek door encryptie toe te voegen aan de chatback-ups van gebruikers die zijn opgeslagen in iCloud. Vóór de wijziging konden hackers in theorie toegang krijgen tot WhatsApp-chatarchieven in iCloud met behulp van forensische tools van derden om onderliggende berichten in een leesbare vorm te openen.
In plaats van te vertrouwen op iCloud Drive om klantgegevens te beschermen, heeft het bedrijf van Facebook een unieke coderingssleutel toegevoegd die is gemaakt door de WhatsApp-app.
Een woordvoerder bevestigde dat iCloud-back-ups nu worden gecodeerd en Forbes vertelt: "Wanneer een gebruiker een back-up van zijn chats maakt via WhatsApp naar iCloud, worden de back-upbestanden gecodeerd verzonden."
Hoewel Apple de coderingssleutels voor iCloud heeft, is het aan app-makers om codering te gebruiken bij het verzenden van gebruikersgegevens naar iCloud. Volgens TechCrunch was het Russische bedrijf Oxygen Forensics, dat mobiele en cloudhacking-tools levert, in staat om coderingssleutels te genereren voor WhatsApp's iCloud-back-ups.
De tijdelijke oplossing vereist dat een aanvaller toegang heeft tot een simkaart met hetzelfde mobiele nummer dat de app gebruikt om een verificatiecode te verzenden om de coderingssleutel voor de iCloud-back-up te genereren. Natuurlijk heeft Oxygen nog steeds de Apple ID en het wachtwoord van een gebruiker nodig om toegang te krijgen tot hun iCloud-gebruikersruimte.
"Vervolgens zei Oxygen met behulp van de bijbehorende SIM dat het de coderingssleutel voor het decoderen van de gegevens kan genereren door het verificatieproces opnieuw te doorlopen", legt TechCrunch uit. Forbes suggereert dat de methode zou kunnen worden gebruikt door de politie in het bezit van een apparaat waarvan het WhatsApp-account is verwijderd maar iCloud-back-ups niet zijn gewist.
WhatsApp codeert nu iCloud-back-ups met een sleutel die ze voor u opslaan. Netjes, maar slaagt niet voor de modderplas test. https://t.co/tkhTParp2K https://t.co/qdAaBVxzyT
- Filippo Valsorda (@FiloSottile) 8 mei 2017
Met andere woorden, nadat ze zich realiseerden dat forensische tools konden worden gebruikt om gecodeerde WhatsApp-gegevens van iCloud-back-ups in een leesbare vorm te downloaden, heeft WhatsApp de beveiliging verbeterd en vorig jaar stilletjes codering uitgerold voor iCloud-back-ups.
Je kunt een back-up maken van je hele WhatsApp-chatarchief naar iCloud door op te tikken instellingen tabblad in de rechterbenedenhoek van de app. Tik nu op chats, vervolgens Chatback-up en eindelijk slaan Nu backuppen.
WhatsApp zou trouwens de bewoordingen van het Chat Backup-scherm moeten bijwerken, omdat het enigszins verwarrend stelt dat "media en berichten waarvan u een back-up maakt, niet worden beschermd door WhatsApp end-to-end-codering in iCloud."
