Artikel empfehlen

WhatsApp: Sicherheitslücke zur Account-Übernahme gestopft?


22.11.2012, 09:59 Uhr

whatsapp-logo

Vor einigen Wochen berichteten wir über eine Sicherheitslücke in der populären Messenger-App WhatsApp, die es jeder technisch bewanderten Person möglich machte, den Account anderer WhatsApp-Nutzer zu übernehmen, solange er deren Handynummer und IMEI besaß. Nun könnte diese Lücke behoben worden sein – obwohl sich das Unternehmen zugeknöpft gibt.

Es klingt fast zu absurd, um wahr zu sein: WhatsApp basiert technisch auf einer abgeänderten Version des XMPP-Protokolls, das auch die Messaging-Dienste Jabber und Google Talk befeuert. Die Telefonnummer des Accounts ist der Login-Name eines WhatsApp-Accounts, das Passwort der md5-hash der umgedrehtem IMEI-Nummer. Die IMEI kann man mit physischem Zugriff auf ein Gerät oder über eine bösartige App relativ leicht erhalten, die Telefonnummer eines potentiellen Opfers sollte für einen bösartigen Angreifer verständlicherweise auch nicht schwer zu bekommen sein – somit war fast jeder Nutzer von WhatsApp unter Android gefährdet. Aufgrund dieser Schwachstellen kursierten schnell ein PHP-Skript und ein darauf basierender Webservice als Proofs of Concept, mit denen man WhatsApp-Nachrichten fälschen konnte. Auf iOS-Geräten waren die Sicherheitsmaßnahmen anders, aber ebenfalls unsicher, da sie auf der MAC-Adresse des Geräts basierten, die ebenfalls leicht herauszufinden ist.

Nun hat die Firma hinter WhatsApp endlich reagiert und das unsichere Protokoll abgeändert. Mit der aktuellen Android-Version, die seit dem 6. November verteilt wurde, soll die Authentifizierung anders funktionieren, will Heise erfahren haben – ob sie jetzt tatsächlich sicher ist, bleibt unklar. Leider gibt sich der Hersteller des Messengers sehr zugeknöpft – es gab weder Statements zur originären Sicherheitslücke noch zu deren möglicher Schließung. WhatsApp reagierte auf die Vorwürfe, ihren Authentifizierungsmechanismus allen Sicherheitsstandards widersprechend gestaltet zu haben, lediglich mit einer Klage gegen den Entwickler des oben genannten PHP-Skripts.

Hoffen wir mal, dass sich die Kommunikationspolitik des immerhin von Millionen und Abermillionen verwendeten Dienstes WhatsApp ändert – insbesondere jetzt, da man auch Android-User zur Kasse bittet.

Download: WhatsApp Messenger (kostenlos)
WhatsApp Messenger (kostenlos) qr code

Quelle: Heise

► Tipp: Mit der WhatsApp-Prepaid-SIM immer WhatsAppen – auch ohne Guthaben

Bewerte diesen Artikel
1 Star2 Stars3 Stars4 Stars5 Stars
Ø 5.00 von 5 - 2 Bewertung(en)
Loading ...
Folge androidnext auf Facebook

  • http://www.smartdroid.de/whatsapp-stopft-sicherheitsluecke-wird-zumindest-vermutet/ WhatsApp stopft Sicherheitslücke, wird zumindest vermutet

    [...] Die aktuellste Android-Version der App hat wohl ein abgeändertes Protokoll für die Authentifizierung, nur bleibt weiterhin unklar, ob das auch wirklich sicherer ist. (via) [...]

  • http://www.androidmag.de/news/apps-news/sicherheitslucke-von-whatsapp-behoben/ Sicherheitslücke von WhatsApp behoben? – Android Magazin

    [...] Quelle: AndroidNext [...]

Verwandte Artikel