WhatsApp, de populaire instant messaging-applicatie, heeft onlangs een nieuwe beveiligingsfunctie geïntroduceerd die bekend staat als “Device Verification” om te voorkomen dat malware de accounts van gebruikers op hun mobiele apparaten aantast.

Volgens een verklaring van het bedrijf vormt malware voor mobiele apparaten een aanzienlijke bedreiging voor de privacy en veiligheid van gebruikers, omdat het de WhatsApp-account van het slachtoffer kan gebruiken om spam en phishing-links te versturen zonder hun toestemming.

De Device Verification functie is bedoeld om account takeover aanvallen te voorkomen door ongeautoriseerde verbindingen te blokkeren en gebruikers in staat te stellen de app zonder onderbreking te blijven gebruiken. Hiervoor wordt een authenticatie-uitdaging gebruikt die dient als een “onzichtbare ping” van de server naar het apparaat van de gebruiker en een cryptografische nonce om te bepalen of WhatsApp-clients contact opnemen met de server voor inkomende berichten.

Zie ook; “Massive Balada Injector Malware Campaign Infects Over 1 Million WordPress Sites”.

Het veiligheidstoken, dat telkens wordt gewijzigd wanneer een cliënt een offline bericht ontvangt, moet worden verzonden wanneer een cliënt verbinding maakt met de server. Een authenticatie-uitdaging wordt als mislukt beschouwd als de client antwoordt vanaf een ander apparaat, wat wijst op een verdachte verbinding van een aanvaller. In dergelijke gevallen wordt de verbinding geblokkeerd.

WhatsApp heeft de Device Verification-functie al uitgerold naar alle Android-gebruikers en is bezig deze uit te rollen naar iOS-gebruikers. Het is een onderdeel van een grotere reeks verbeteringen die bedoeld zijn om de identiteit van gebruikers te authenticeren en te verifiëren, zoals het weergeven van waarschuwingen bij het migreren van een account van het ene apparaat naar het andere.

Een andere nieuwe functie van WhatsApp is“Key Transparency“, waarmee automatisch wordt bevestigd of chats end-to-end zijn versleuteld zonder dat de gebruiker daar iets voor hoeft te doen. Dit wordt bereikt door de implementatie van een Auditable Key Directory (AKD) op basis van bestaande protocollen zoals CONIKS en SEEMless, waarmee gebruikers de veiligheid van hun gesprekken kunnen controleren door de authenticiteit van de encryptiesleutel te valideren.

De functies Device Verification en Key Transparency van WhatsApp betekenen een aanzienlijke vooruitgang in de beveiliging van mobiele apparaten en gebruikers worden aangemoedigd hun apps bij te werken om van deze functies gebruik te maken.