Artikel empfehlen

WhatsApp: Sicherheitslücke ermöglicht Kapern fremder Accounts


07.09.2012, 14:23 Uhr

whatsapp-effekt

Der WhatsApp Messenger läuft auf zahlreichen Android-Smartphones und hat sich in den letzten Monaten in der Breite der Bevölkerung zur vielseitigeren und preiswerteren Alternative zu klassischen SMS gemausert. Doch nicht alles ist wunderbar in der Welt von WhatsApp. Jetzt wurde eine neue Sicherheitslücke bekannt, die es mit relativ geringem Aufwand möglich macht, Accounts anderer Nutzer zu übernehmen und darüber Nachrichten in deren Namen zu versenden.

Erst vor wenigen Wochen wurde ein Update von WhatsApp veröffentlicht, das die Nachrichtenverschlüsselung aktiviert – zuvor war es allen Nutzern im selben WLAN mit entsprechender Software möglich, die mit WhatsApp versendeten und empfangenen Nachrichten zu lesen. Das ist jetzt nicht mehr der Fall, zumindest wenn beide Nutzer den WhatsApp-Client in einer aktuellen Version verwenden.

Das nun bekannt gewordene Problem ist allerdings noch eklatanter. Ein bösartiger Angreifer kann nun mit vergleichsweise geringem Aufwand Nachrichten unter falschem Absender verschicken. Möglich macht das eine Schwäche im Protokoll von WhatsApp auf Android-Geräten (ob dasselbe Problem auch unter anderen Betriebssystemen besteht, für die es WhatsApp gibt, ist bislang noch nicht ermittelt). Konkret: Ein WhatsApp-Nutzer authentifiziert sich gegenüber dem WhatsApp-Server mit der Telefonnummer als Benutzername. Das Passwort, sofern man es so nennen will, ist der MD5-Hash der umgedrehten IMEI eines Gerätes – ohne Salt oder ein zusätzliches Passwort.

Was bedeutet das? Bösartige Angreifer müssten also nur an die Telefonnummer und die IMEI-Nummer eines Geräts kommen und könnten dann mithilfe eines präparierten Programms im Namen des entsprechenden Nutzers Nachrichten verschicken und empfangen.

An die Telefonnummer eines Nutzers zu kommen ist bekanntermaßen nicht sonderlich schwierig, aber auch das Erlangen einer IMEI ist durchaus möglich. Entweder besitzt man physischen Zugriff auf das Gerät und erhält die Nummer über Eingabe des Statuscodes *#06# in die Dialer-App. Aber auch Apps können mit der harmlos klingenden Berechtigung „Telefonstatus auslesen und identifizieren“ die IMEI auslesen. Ein Angreifer oder Spammer könnte also im Prinzip einfach eine App entwickeln, die diese Daten ausliest und im Hintergrund zurücksendet.

Sam Granger, der das WhatsApp-Sicherheitsproblem entdeckt und dokumentiert hat, schreibt, dass es in einem Test problemlos möglich war, eine gefälschte WhatsApp-Nachricht zu verschicken, die von einem (eingeweihten) Bekannten zu stammen schien.

Nun braucht es durchaus Menschern mit entsprechenden kriminellen Beweggründen, um dergestalt vorzugehen. Wenn man bedenkt, dass auch bei E-Mails Absender gefälscht werden können, erscheint das Problem vielleicht in nicht ganz so dramatischem Licht. Dennoch ist es absolut sträflich von WhatsApp, eine so bescheidene Art der Authentifizierung zu verwenden, während es ohne großen Aufwand möglich wäre, dieses Verfahren deutlich besser zu gestalten. Wir hoffen, dass WhatsApp hier schnellstens nachbessert – ansonsten bleibt uns nur zur mittlerweile recht guten Alternative ChatON von Samsung zu raten, die vom Funktionsumfang vergleichbar ist und auf diversen Plattformen – inklusive Android, iOS, und sogar im Webbrowser – läuft.

WhatsApp – bleibt ihr dabei oder werdet ihr den Messenger zukünftig aufgrund der Sicherheitsprbleme meiden? Eure Meinung in die Kommentare.

Sam Granger: WhatsApp is using IMEI numbers as passwords [via Hacker News]

Bewerte diesen Artikel
1 Star2 Stars3 Stars4 Stars5 Stars
Ø 4.83 von 5 - 12 Bewertung(en)
Loading ...
Folge androidnext auf Facebook

  • http://blah.tamagothi.de/2012/09/07/spezialexperten-des-tages-sind-die-programmierer/ Nachtwächter-Blah » Spezialexperten des Tages sind die Programmierer…

    [...] die Programmierer von WhatsApp mit ihrer großartigen Idee, wie man einen Benutzer authentifiziert: user = Telefonnummer; passwort = md5(reverse(IMEI)). Der MD5-Hash ist natürlich nicht gesaltet, aber darauf kommt es bei der Verwendung leicht [...]

  • http://www.androidnext.de/apps/whatsapp-beta-apk/ WhatsApp: Neue Beta-Version als APK-Download

    [...] zum Download bereitsteht. Wer jetzt allerdings vermutet oder hofft, bei WhatsApp hätten nach den Schlagzeilen der letzten Wochen um klaffende Sicherheitslücken die Bereiche Privatsphäre und Sicherheit [...]

  • http://www.androidnext.de/news/whatsapp-gebuehren/ WhatsApp: Android-User müssen (tatsächlich) Abogebühren zahlen

    [...] und Android-Nutzer hierzulande verwendet schließlich WhatsApp, den jüngsten Gebühren und allen Sicherheitslücken zum Trotz. Warum? Weil’s bequem ist und die alle anderen es auch [...]

  • http://www.bega-solutions.de/?p=1315 WhatsApp: Android-User müssen (tatsächlich) Abogebühren zahlen | BeGa Solutions

    [...] und Android-Nutzer hierzulande verwendet schließlich WhatsApp, den jüngsten Gebühren und allen Sicherheitslücken zum Trotz. Warum? Weil’s bequem ist und die alle anderen es auch [...]

  • http://www.androidnext.de/news/whatsapp-sicherheitsluecke-gestopft/ WhatsApp: Sicherheitslücke zur Account-Übernahme gestopft?

    [...] einigen Wochen berichteten wir über eine Sicherheitslücke in der populären Messenger-App WhatsApp, die es jeder technisch bewanderten Person möglich [...]

Verwandte Artikel