WhatsApp bereitet Windows-Phone-Nutzern derzeit Probleme

© WhatsApp

freizeit Leben, Liebe & Sex
09/16/2012

Bericht: Massive Sicherheitslücken in WhatsApp

Die neu eingeführte Verschlüsselung der Nachrichten kann bereits übergangen werden. Außerdem können Accounts aufgrund unzureichender Sicherheitsmaßnahmen sehr leicht geknackt werden. Besonders betroffen dürften Android- und iOS-Nutzer sein.

Wie im Blog fileperms gezeigt wird, können die Sicherheitsvorkehrungen in der App WhatsApp sehr leicht übergangen werden. Bis vor wenigen Wochen wurden Nachrichten noch komplett unverschlüsselt übertragen und konnten theoretisch von jedem Nutzer im gleichen WLAN-Netz mitgelesen werden. Als Reaktion darauf hat WhatsApp ein Update veröffentlicht, ab dem Nachrichten verschlüsselt werden. Diese Verschlüsselung wurde mittlerweile bereits geknackt.

Die Telefonnummern der Nutzer (die gleichzeitig auch als Username fungieren) werden außerdem standardmäßig weiterhin in Klartext, also unverschlüsselt, übertragen. Die Authentifizierung bei den WhatsApp-Servern ist laut fileperms ein „sicherheitstechnischer Albtraum". Das benötigte Passwort wird unter Android dabei aus der umgedrehten Seriennummer (IMEI) des Telefons generiert. Angreifer könnten die Nummer entweder vom Gerät, oder über eine Malware auslesen.

iOS
Unter iOS ist die Sicherheitssituation offenbar noch dramatischer. Das Passwort werde aus der MAC-Adresse des WLAN-Adapters generiert. Jene kann von einem Angreifer, der sich im gleichen WLAN-Netz befindet, sehr einfach ausgelesen werden. Um sich zu schützen, sollten iPhone- und iPad-Nutzer WhatsApp grundsätzlich nicht in öffentlichen WLAN-Netzen nutzen.

API
Über die API können Angreifer mit Nutzername und Passwort Nachrichten im Namen des jeweiligen Nutzers versenden. Die Lücken wurde auch von heise Security überprüft und bestätigt. WhatsApp hat derzeit noch keine Stellungnahme zu den Vorwürfen abgegeben.

Wie die Sicherheitssituation in den WhatsApp-Versionen für BlackBerry, Symbian und WindowsPhone aussieht, beziehungsweise wie dort das benötigte Passwort generiert wird, ist derzeit noch nicht bekannt.

Es ist nicht das erste Mal, dass WhatsApp in den Fokus von Kritik kommt. So wurde in der Vergangenheit immer wieder Kritik an den Sicherheitsvorkehrungen geübt. Zeitweise wurde die App aufgrund der Gefahren auch aus dem iOS-AppStore und dem Windows-Phone-Marketplace genommen, jeweils kurz danach aber wieder online gestellt.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.