Zum Inhalt springen
Soundtrack Board

WhatsApp: Experten warnen vor Sicherheitslücke


Bastet
 Teilen

Empfohlene Beiträge

Der beliebte SMS-Ersatz WhatsApp lässt sich mit Hilfe frei zugänglicher Tools leicht kapern, wie ein Test von heise Security ergab. Wer WhatsApp in einem öffentlichen WLAN nutzt, riskiert, dass Datenschnüffler den Account zum Senden und Empfangen von Nachrichten missbrauchen. Ist der Account einmal geknackt, kann man ihn nicht mehr absichern. Der Schnüffler kann ihn fortan beliebig nutzen.

Im Laufe der Woche zeichnete sich bereits ab, dass die Authentifizierung bei WhatsApp nicht sehr sicher ist: Forscher fanden heraus, dass der Client zur Anmeldung am Server ein selbstgeneriertes Passwort nutzt, das bei Android aus der Seriennummer (IMEI) des Smartphones und bei iOS aus der MAC-Adresse der WLAN-Schnittstelle erzeugt wird. Das Problem hierbei ist, dass diese Daten alles andere als geheim sind: die IMEI des Android-Smartphones steht oft auf dessen Rückseite und lässt sich auch per Tastenkombination oder App auslesen.

Bei iOS-Nutzern haben Datenschnüffler noch leichteres Spiel: Die MAC-Adresse sieht bei der WLAN-Nutzung jedermann in Reichweite des Funknetzwerks. Ist das WLAN öffentlich, wie etwa der Hotspot im Lieblingscafe, kann der Schnüffler anhand der von WhatsApp übertragenen Datenpakete auch noch die Rufnummer des Nutzers herausfinden und dessen Account kinderleicht übernehmen – ohne sein Opfer überhaupt kennen zu müssen. Das ist umso unverständlicher, als dass es ja bereits ein personalisiertes gemeinsames Geheimnis zwischen WhatsApp und dem Nutzer gibt: den bei der Anmeldung via SMS verschickten Bestätigungscode.

In unserem Test konnten wir sowohl die Accounts von Android- als auch von iOS-Nutzern mit Hilfe der PHP-basierten WhatsApp-API WhatsAPI benutzen. Und das war erschreckend einfach: Wir mussten lediglich Rufnummer und MAC-Adresse bzw. IMEI in ein mitgeliefertes Skript eintragen und konnten anschließend über die Eingabeaufforderung beliebige Nachrichten in dessen Namen verschicken. Absender war stets die Rufnummer des kompromittierten Accounts.

Das Skript bietet darüber hinaus einen Konversationsmodus, über den wir Nachrichten sowohl senden als auch empfangen konnten. Die verschickten Nachrichten tauchten nicht auf dem Smartphone des Account-Besitzers auf. Auch die eingehenden Antworten empfängt er nicht, solange das Skript läuft.

Unser Experiment zeigt, dass man WhatsApp derzeit nur mit Vorsicht benutzen sollte. iPhone-Anwender sollten den Dienst nicht in öffentlichen Netzen benutzen, um es Datenschnüfflern nicht unnötig leicht zu machen. Davor, dass Personen aus dem unmittelbaren Umfeld, etwa Kollegen, den Account übernehmen, kann man sich freilich nicht schützen – in der Regel kommen diese sowohl an die Handynummer als auch die IMEI respektive MAC-Adresse.

Wurde der Account übernommen, ist man ausgeliefert; es gibt derzeit keine Möglichkeit, das Passwort zu ändern und den Datenschnüffler dadurch auszusperren. Jetzt liegt es an WhatsApp, seine Nutzer zu schützen.

Im Übrigen gibt es inzwischen auch Hinweise darauf, dass WhatsApp auch bei der Erzeugung der Schlüssel für die Verschlüsselung der Nachrichten geschlampt hat. So behauptet eine anonyme, bislang unbestätigte Analyse, dass sich der Schlüssel zumindest bei der iOS-Version leicht ermitteln lässt. (rei)

Quelle: http://www.heise.de/...zt-1708132.html

Link zu diesem Kommentar
Auf anderen Seiten teilen

Naja, die Verschlüsselung, die WhatsApp da benutzt, ist aber auch ziemlich abenteuerlich und wird dem Namen nicht gerecht. Von daher hoffe ich ernsthaft, dass der Hersteller endlich eine anständige Verschlüsselung nachliefert. Nichts ist schlimmer, als die Sicherheit seiner Nutzer zu riskieren. Immerhin vertraue ich dem Hersteller ja, dass er meine Informationen sicher transportiert und meine Daten vor Manipulation durch Dritte schützt.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

 Teilen

×
×
  • Neu erstellen...

Wichtige Information

Wir nutzen auf unserer Webseite Cookies, um Ihnen einen optimalen Service zu bieten. Wenn Sie weiter auf unserer Seite surfen, stimmen Sie der Cookie-Verwendung und der Verarbeitung von personenbezogenen Daten über Formulare zu. Zu unserer Datenschutzerklärung: Datenschutzerklärung