Webseite demonstriert WhatsApp-Lücke, Webnutzung ohne Passwort ohne Probleme möglich
von caschy | 86 Kommentare
Die FILSH Media GmbH aus Essen demonstriert momentan auf einer Webseite, wie schwer die Sicherheitslücke von WhatsApp wiegt, die trotz Bekanntheit immer noch nicht von den Entwicklern geflickt wurde und damit beweisen dürfte, dass den Betreibern in Sachen Security nicht viel am Herzen liegt, oder dass man einfach unfähig ist. Das Problem hatte ich Anfang September schon einmal beschrieben, es betrifft den Login-Mechanismus von WhatsApp.
WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf eine nicht so gute Form der Authentifikation. WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters. Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren.
Der WhatsApp Web Client funktioniert auf eben jene Weise. IMEI oder WiFi-MAC nebst Telefonnummer eingeben und schon könnt ihr als völlig andere Person WhatsApp-Nachrichten verschicken. Es dürfte nicht allzu schwer sein, diese beide Daten bei Menschen herauszubekommen, ein paar unbeobachtete Momente reichen.
Ich habe den Spaß eben getestet und kann nur sagen: liebe WhatsApp-Entwickler, lasst euch was einfallen – allen anderen kann man eigentlich nur noch von der Benutzung abraten. Das Kuriosum: die Webseite bietet etwas an, was sich viele Nutzer von WhatsApp wünschen: die Nutzung im Browser.
Wird geladen ...
Ich muss bisschen drüber schmunzeln. Ein für die ganze Welt zugängliches Proof of Concept. Welches nicht geloggt wird.
die facebook messenger app ist schon eine gute und sichere alternative… trotzdem kommt dort irgendwie nicht das whatsapp feeling auf. @idd, deine facebook kritik ist ein wenig lächerlich, der messenger ist ja nun wirklich sicherer als alle anderen messenger auf dem markt. allgemein kann man natürlich etwas gegen facebook haben, ich persönlich finde google aber viel viel schlimmer (nutze trotzdem beides).
die sache mit joyn scheinen die meisten nicht verstanden zu haben.. es ist für smartphone user genau das gleiche wie whatsapp und zudem natürlich kostenlos. es hat zudem einen vorteil… man kann auch leute erreichen, die kein smartphone haben, die müssen dann allerdings sms-ähnliche gebühren zahlen um zu antworten.
p.s. ich nutze trotzdem weiterhin whatsapp! die sicherheitslücke ist zwar dramatisch groß, aber es bedarf schon recht großen aufwand um in meinem namen nachrichten schreiben zu können… ich gebe nämlich mein iphone nicht aus der hand und in öffentlichen wlans bin ich auch auch nicht eingebucht. zudem glaube ih nicht, dass jemand interesse daran hat, in meinem namen nachrichten zu schreiben.
Whatsapp hab ich noch nie genutzt. Warum auch? Es gibt doch zig alternativen. Ich nutze Google Talk, oder Facebook messenger. Facebook hat ja eh jeder heutzutage. Und wenns gar nicht anders geht, dann halt die gute alte SMS. Die kommt bei mir irgendwie wieder in Mode 😀
Halte ja schon länger KakaoTalk für die bessere Wahl. Sind zwar eher im asiatischen Raum bekannt, aber haben eine ebenbürtige Nutzerzahl und sind deutlich pfiffiger drauf als die Jungs von WhatsApp. Häufige Updates, eine Verschlüsselung seit gefühlten Ewigkeiten, Telefonate über Daten möglich, und ein vernünftiges Monetarisierungsmodell was auch häufig darüber entscheidet wie viel Einsatz ein Team in seine Apps steckt. Zudem auf allen Plattformen verfügbar.
Unglaublich, wirklich unglaublich. Es ist ja so als wenn man bei Facebook nur die E-Mail Adresse eingeben müsste. Habe es grade nochmal verbloggt: http://dennis-wisnia.de/wordpress/2012/09/sicherheitslucke-bei-whatsapp-unter-fremden-namen-chatten/
Schon erschreckend, v.a. als iPhone-Nutzer würde ich jetzt doppelt so gut darauf achten, in welches Wlan sich mein Gerät einwählt.
Eins nicht vergessen: das (berechtige) Gejaule über Whatsapp findet AUSSCHLIESSLICH in Tech Blogs statt. Solange die Usability nicht betroffen ist, ist den Leuten ALLES scheißegal.
@ bert
So ist es! Ich habe gerade in einer Diskussion auf G+ dazu lesen dürfen: „Aber es is’ so verdammt praktisch und hübsch!“
=> Mit irgendwelchen Sicherheitsproblemen brauchste denen nicht zu kommen. Mir wird schon nix passieren.
@denkste:
Jau, so iesses. Bei Android musst du dir in die Kontoeinstellungen gehen und du wirst sehen dass die Version nach einem Jahr abläuft. Bei iOS verlangt man gleich 79 cent
WhatsApp wird kaum vom Thron fallen, alternativen gibt es aber interessiert die Masse nicht. Ein Sicherheitsproblem was zu sehr hochgespielt wird (klar ist es eines, aber der FB vergleich mit nur E-Mail Adresse is albern)
Und ob man nun in freien W-Lan netzen unterwegs is oder nicht is auch erst mal irrelevant.. denn wenn ich das richtig seh braucht man dann immer noch zur MAC-Adresse die jeweilige Telefonnummer.
Ach ja… und man braucht wen dem langweilig ist oder der einem was böses will… die versendeten Nachrichten sieht man ja scheinbar trotzdem nicht. Also kann man wenn „nur“ Fake-Nachrichten schreiben. Letztlich kann man immer was böses tun… wenn man es nur will
Könnte Popcorn zu den Kommentaren gebrauchen ^^
Ich bekomme immer die Meldung „This number is not registered with the given device identifier“. Weiß jmd, woran das liegen könnte?
1. Wer vertrauliche Informationen verschicken will kann einen Jabber Client mit erzwungener Verschlüsselung verwenden.
2. Versucht doch mal meine IMEI heraus zu bekommen
3. fast jeder verwendet Apps die viel zu viel Berechtigungen haben und keiner regt sich auf
= Diskussion um der Diskussion willen
Da hat einer ein coole Seite und sammelt schön Daten. Ja Ja ein Schelm der Böses dabei denkt. Also wie blöd muss man sein dort seine IMEI und den Rest einzugeben. Und das auf einer Seite die keiner kennt. Was zahlen die denn für einen Datensatz? Und schon kommt wieder diese Kettenmail Nachricht. Aber mal abgesehen davon, wer interessiert wer was schreibt. Bezahlen kann man damit nichts einen globalen Chat gibt es nicht. Meine Kontakte kennt keiner daher, ist es doch egal.
Ach vergesst nicht, euer Telefonbuch noch hochzuladen.
Ach ja und das neue J von Dussel und Co ist auch besser und sicherer, nur komisch, wer hat es?
@Caschy wie so grabscht du mein Twitternamen ab und veröffentlichst diesen, wobei wenn ich keinen eingetragen habe. Bitte lösche meinen Post, denn damit bin ich nicht einverstanden.
@eagle, Vollpfosten..
dann wirst DU irgendwann deinen Twitter Namen mal selbst eingefügt haben.
Glaube nicht, das er das selbst zusammensucht.. 😉
Btw, er kennt sicher jetzt auch das PW für deinen Kühlschrank. 😉
Man man man..
@LastOne
Man dürfte auch Nachrichten empfangen können – vorausgesetzt man implementiert das!
Übrigens du glaubst gar nicht wie viele Apps die nötigen Daten erheben.
Das dauert jetzt ’n Weilchen und dann wird munter gespamt (den gab’s bisher nicht, weil Whatsapp an reale Nummern gebunden war).
Einfach mehrere Apps mit sinnvoller Funktionalität bauen, warten und dabei die Zugangsdaten abgreifen (wahrscheinlich kommt nie raus, welche App dafür verantwortlich ist, so viele wie IMEI und Telefonnummer abgreifen)
Ist Viber nicht auch ähnlich WA?
http://www.viber.com
Die einzig echte dauerhafte Alternative zu WhatsApp und co ist die Nutzung von federated XMPP (Jabber). Auf Android einfach mal die App Talk nutzen oder falls man lieber sein Gmx-, web.de-, Freenet-, Yandex-, Lavabit-, sonstwas-Konto nutzen möchte, installiert man eben Xabber. Fürs iPhone oder iPad gibt’s z.B. Monal oder ChatSecure. Für den PC Jitsi und zig andere Programme.
Ich verstehe noch immer nicht, wozu ich Whatsapp eigentlich benötigen soll. In jedem zweiten Smartphone Tarif sind unlimited SMS mit drin. Also, was soll’s ?