WhatsApp ist als kostenloser SMS-Ersatz und unkomplizierter Messenger äußerst beliebt, doch gerade das unkomplizierte Authentifizieren ist nun Grund für eine wirklich gefährliche Sicherheitslücke, die das Übernehmen von ganzen Accounts ermöglicht. Dies kommt nachdem bereits vor kurzem die fehlende Verschlüsselung und das dadurch mögliche Mitschneiden vom Nachrichtenverkehr bekannt wurde.
Sicherheitsforscher haben sich den Authentifizierungsprozess vom Messenger WhatsApp genauer angesehen und haben den Programmcode dafür decompiliert. Herausgekommen ist, dass WhatsApp, dass wie Facebook oder Google Talk auf den XMPP-Standard setzt, als Benutzernamen die Handynummer und als Passwort ein automatisch anhand der Hardware generierten Code. Unter Android wird hierfür die IMEI, die Seriennummer des Handys herangezogen, die nur noch umgedreht und als md5 gehasht als Passwort übertragen wird. Bei iOS-Geräten ist das Verfahren noch unsicherer, denn dort nimmt man anstelle der IMEI, die Apps dort nicht auslesen können, die im WLAN öffentliche MAC-Adresse des Gerät, die einmal wiederholt ebenfalls einfach mit md5 gehasht ( md5(AA:BB:CC:DD:EE:FFAA:BB:CC:DD:EE:FF) ) übertragen wird.
Fehlende Verschlüsselung der Nummer
Bei diesem ganzen System scheint WhatsApp wieder einmal ordentlich geschlampt zu haben, denn die Handy-Nummer (also der Benutzername) wird wieder unverschlüsselt gesendet und kann bei öffentlichen WLAN-Netzen einfach mitgeschnitten werden. Dies bedeutet insbesondere bei iOS Geräten, dass man nur ein öffentliches WLAN haben muss, wo der Verkehr geloggt wird und man kann ohne das Opfer zu kennen bequem Datenmining betreiben. Auffällig ist überdem, dass ja bereits mit der SMS-Bestätigung ein Geheimnis zwischen Nutzer und WhatsApp-Server ausgetauscht wird, welches nicht so einfach mitgeschnitten werden kann und somit als sicherere Erweiterung ohne großen Aufwand fungieren könnte.
Die Daten missbrauchen
Mit der WhatsAPI, einer Bibliothek in den Programmiersprachen Python, PHP und Java, kann man mit den so gewonnenen Zugangsdaten bequem sich auf dem Server als Nutzer einloggen und somit allen Nachrichtenverkehr lesen und selber Nachrichten verschicken. Da WhatsApp nur an ein Gerät die Daten liefert, bekommt der oder die Betroffene von der Attacke nichts mit, denn die Verbindung ist nur noch zwischen WhatsApp und dem mit WhatsAPI gefakten Gerät. Selbst wenn man mitbekommt, dass der eigene Account kompromittiert ist, kann man nichts mehr daran ändern, da ja WhatsApp kein wirkliches Passwort besitzt.
Neben der fehlenden Sicherheit bei der Authentifikation scheint aber auch die neu eingeführte Verschlüsselung der Nachrichten, wegen der WhatsApp erst vor kurzem in die Medien gekommen war, immer noch nicht wirklich sicher zu sein. Auch hier werden wieder relativ leicht einsehbare Identifikationsnummern des Gerätes iOS bzw. einfach nur versteckte Konstanten (Android) verwendet, die zu allem Übel auch noch wieder unverschlüsselt übertragen werden.
Zustand: Katrastrophal. Mögliche Alternative: Joyn
Das WhatsApp mit allein zwischen 50 und 100 Millionen Nutzern unter Android und unter iOS mindestens ebenso viele Nutzer besitzt und davon abgesehen auch unter Blackberry, Symbian und Windows Phone vertreten ist und dennoch selbst einfachste Regeln der IT-Sicherheit scheinbar nicht kennt bzw. mit Füßen tritt sollte den Service dann doch mittlerweile in Frage stellen. Diese neue Lücke ist in meinen Augen eigentlich noch schlimmer als die fehlende Verschlüsselung bislang, da man mit Handynummer und Gerätenummer beliebig viel anstellen kann und nicht mehr weiter auf den Nutzer angewiesen ist.
Leider ist die Alternative Joyn der Netzbetreiber, die deutlich höhere Sicherheit aufbauend auf dem GSM-Protokoll sowie mehr Funktionen, noch alles andere als voran geschritten. Lediglich Vodafone hat den Dienst bislang gestartet und Telekom und O2 lassen sich noch Zeit, während eplus sich bislang noch nicht einmal offiziell zu einem Start geäußert hat. Man kann nur hoffen, dass die Joyn-Unterstützung bald in den gägnigen Betriebssystemen Android, iOS und Windows Phone fest integriert ist und die Netzbetreiber eine deutlichere Unterstützung der Technik signalisieren.
Das könnte dich auch interessieren: »
- Whatsapp ausgefallen ? Nutzer beklagen Problem Nach Userberichten ist bei vielen Nutzern aktuell Whatsapp ausgefallen, und die Telekom soll angeblich an diesem Ausfall schuld sein. Gerüchte...
- Whatsapp Whatsapp ist ein Push-Messenger für mehr als nur das iPhone: Es gibt das App im iTunes App Store, im Android...
- Whatsapp für kurze Zeit gratis WhatsApp gibt`s für iOS wohl erstmal gratis, Grund genug für Viele den Dienst nun mal auszuprobieren. Als Gratis Dienst wird...
Ist ChatOn denn keine Alternative?
@Pueks Auf Grund der Einschränkungen, dass außerhalb von Samsung so gut wie keiner ChatOn nutzt, aus meiner Sicht nicht wirklich. Es gibt zwar auch eine iPhone-App, doch die scheint mit 110 Bewertungen noch nicht wirklich angekommen zu sein.
Joyn (sofern mal endlich die ganzen Provider mitziehen) hat den Vorteil, dass man keine extra App mehr runterladen muss und das ganze wirklich über die Grenzen von verschiedenen Betriebssystemen hinweg unterstützt wird. Außerdem kostet es nach bisherigen Angaben keine Datenvolumen, welches gerade beim Versand von Dateien oder der Videotelefonie sonst schnell aufgebraucht ist.