WhatsApp unsicher? Ja, immer noch
WhatsApp kommt nicht aus den negativen Schlagzeilen heraus. Berichte über Sicherheitslücken kommen im Monatstakt heraus und wenn man denkt, dass die Jungs die Kurve bekommen, gibt es die nächste Klatsche. Was jetzt wieder (oder immer noch) akut ist? Es lassen sich weiterhin Accounts kapern, sofern IMEI und Telefonnummer des Opfers bekannt ist. Beides Daten, die nicht soooo schwer herauszubekommen sind.
Hier greift die Lücke, über die ich schon im September berichtet habe. WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf eine nicht so gute Form der Authentifikation.
WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters. Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren. Ende September berichtete ich dann noch einmal über ein Script, welches diese Lücke ausnutzte und die WhatsApp-Nutzung zusätzlich per Web möglich machte.
Ein neues Script, welches den Jungs bei Heise vorliegt, scheint nun wieder die gleiche Lücke auszunutzen. Es war wieder möglich, einen Account-Klau bei WhatsApp durchzuführen. Erschreckend war die Reaktion der Betreiber. Auf Presseanfragen reagieren die eh nie und auch nach der Kontaktaufnahme durch Heise blieb es ruhig. Einige Tage später meldete sich dann doch jemand, erkundigte sich, welche Version der App betroffen ist. Seitdem wieder Funkstille, obwohl genauere Informationen über das verwendete Script angeboten wurde.
Manche lernen es wohl nie. Und das sind sicherlich die WhatsApp-Macher. Aber auch viele Nutzer, die trotz des besseren Wissens Aussagen wie „Meine Gespräche sind nicht so wichtig und enthalten keine brisanten Informationen“ treffen.
Leute, es mag sich bescheuert anhören: ich behaupte jetzt einfach mal, dass ein Großteil eurer wichtigen Kontakte auch bei Facebook ist. Nutzt den verdammten Facebook-Messenger! Der arbeitet auch mit eurer behämmerten Datenverbindung. Sofern iOS und Android vorhanden sind, pusht der Kram auch direkt.
Nachtrag: und noch besser ist es, wenn ihr alle Kontakte löscht, die an Kettenbriefe und so einen Quatsch glauben, aktuell geht dieser Kram rum:
Nachricht von Jim Balsamico (CEO der Whatsapp) Wir haben zu viele Nutzer auf Whatsapp. Wir bitten alle Nutzer, diese Botschaft an die gesamte Kontaktliste weiterzuleiten. Wenn Sie nicht weitergeleitet wird, nehmen wir Ihr Konto als ungültig und es wird innerhalb der nächsten 48 Stunden gelöscht. Bitte diese Meldung NICHT ignorieren, sonst wird Whatsapp die Aktivierung ihres Kontos nicht mehr erkennen. Wenn Sie ihr Konto wieder aktivieren wollen nachdem es gelöscht wurde, wird eine Gebühr von 25,00 auf Ihre monatliche Rechnung hinzugefügt.
da frag ich mich warum ich denen noch einen Dollar pro Jahr zahlen soll. Klar ist es nicht viel für den Einzelnen. aber alle zusammen kommt richtig viel Kohle zusammen. Da erwarte ich dann auch eine angemessene Kommunikation und ein schnelle Beheben der Sicherheitslücken!
Habe grundsätzlich kein problem später auch für whatsapp zu bezahlen, aber dann muss auch der service stimmen. das heißt das ding muss sicherer werden! ich warte ja noch auf hikeapp um das ding mal auszuprobieren
Facebooks Marktmacht noch mehr stärken ist in meinen Augen der falsche Schritt. Es gibt genügen andere sichere Kommunikationsarten. Der sicherste Onlineweg dürfte per – tadaa! – E-Mail sein. Wer es ganz sicher haben will, kann noch PGP drüberbügeln und fertig ist die unknackbare Kommunikation.
Weiss jemand ob der Facebook Messenger auf gesicherte https Verbindungen setzt oder die Daten unverschlüsselt übertragt?
Statt mich der Gefahr auszusetzen, dass mein Account gekapert wird soll ich also reihenweise noch mehr private Daten dem blauen Riesen in den Rachen werfen?
Dann nutz ich doch lieber ICQ oder Skype, da kann man nämlich auch schön chatten. Oder iMessage. Oder E-Mail. Oder die gute alte SMS. Es gibt wesentlich mehr Alternativen außer den Facebook-Messenger!
Selbstverständlich hast du recht, dass man von Whatsapp abweichen sollte, leider gibt es, abgesehen vom Facebook-Messenger, keine vernünftige Alternative. Momentan warte ich auf das erscheinen von „Hike“, prinzipiell das gleiche wie Whatsapp, aber wesentlich hübscher und hoffentlich sicherer und funktionaler. Leider blockieren die Freunde beim angebissenen Apfel gerade aber die Veröffentlichung der App – schade.
Beim Facebook-Messenger bin ich mir nicht sicher, aber Google-Talk nutzt definitiv verschlüsselte Verbindungen
Ich nutze schon länger bevorzugt den Facebook Messenger, den ein weiterer Vorteil ist das ich den überall nutzen kann egal ob am Tablet am Smartphone und ganz bequem wenn ich eh schon am Laptop sitze damit.
Gibt es denn eine sichere Alternative außer Facebook? Sind Samsung ChatOn etc. sicherer?
Also den Tipp Facebook statt Whatsapp finde ich auch unter aller Kanone.
Ich hätte jetz tipps wie mysms oder sowas erwartet, aber Facebook statt Whatsapp ist ja mal voll DAU ^^ (soll nicht beleidigend wirken, dennoch hätte ich von einem Techie mehr erwartet ^^)
Der Facebook-Tipp hat nichts mit Dau oder so zu tun. Rate mal, wie viele meiner Kontakte aus der Tech-Szene Google Talk nutzen. Weisse Bescheid. Ich habe hier oft genug Alternativen vorgeschlagen. Es nutzt keine Sau. Und diese Dinger wie Viber und mySMS, Yuilop und wie der ganze Krempel heißt, ist in meinen Augen auch Blödsinn. Punktesystem und so ein Kram….damit bekommst du keine Masse an Benutzern, weil zu kompliziert.
Also rein theoretisch ist es anscheinend kein Problem, Whatsapp zu kapern, aber wie sieht es praktisch aus? Gut, die Handynummer einer Person ist ja noch rauszufinden, aber die IMEI? Kann die auch ausgespäht werden (weil ich z.B. im selben unverschlüsselten WLAN hänge) oder muss ich dazu tatsächlich auch das Handy in der Hand halten?
Mich würde auch mal interessieren, wie einfach es ist an die IMEI zu kommen, wenn jemand keinen psysikalischen Zugriff auf mein Gerät oder die Verpackung hat. Vermutlich kommen Apps relativ einfach an die IMEI, allerdings, wenn es Apps sind, die Schabernack treiben wollen, ist WhatsApp Missbrauch wohl nicht das einzige, was angestellt werden kann. Bisschen überzogener Artikel irgendwie. Lasse mich aber gerne eines besseren belehren.
Der kleine Rant am Ende des Artikel ist nett, trifft aber genau den Kern. Ich erzähle das bereits seit Monaten den Kollegen, aber die sind beratungsresistent. Aber die Aktion der Macher ist wie immer krass. Checken die auch mal ihr Produkt, bevor die es auf die Menschheit loslassen. Und dann dafür auch noch Geld verlangen. tztztz
Gtalk wie auch alle anderen Messenger haben einen entscheidenden Nachteil gegenüber WhatsApp: man braucht ein extra Konto. Die Telefonnummer hat man eh. Gtalk nutzt das Jabber Protokoll, da gibt es Clients für alle Plattformen, sogar SymbianOS, aber man benötigt halt ein extra Konto. Machen nicht so viele. Sehe ich als einzigen Grund für die enorme Verbreitung von WhatsApp. Sollten sie allerdings weiterhin so stümperhaft arbeiten, hat sich das auch bald wieder erledigt. Oder nutzt noch jemans ICQ von euch? 🙂
Google Talk mag ich grundsätzlich auch, nutze ich auch, ist auf iOS nur sehr nervig. Erst einmal hat kaum ein iOS-Nutzer Gtalk und selbst viele Androidbesitzer nutzen es nicht, und dann gibt es keinen vernünftigen Clienten.
Klar, ich kann IM+ o.ä. nutzen, aber teilweise braucht der dann 5-6 Sekunden zum Verbinden wenn man die App öffnet um dann die neuen Nachrichten anzuzeigen. Und das nervt.
Nennt mit bitte mal jemand einen konkreten Fall, wie er an meine IMEI-Nummer kommen soll, um dann in meinem Namen Nachrichten an meine Kontakte zu schreiben? Weil an andere kann er ja nicht schreiben, oder?
Die Lücke ist da und ist scheisse, und muss gefixt werden. Aber einen Angriffspunkt mit fatalen Folgen sehe ich darin nicht.
Auf dem iPhone steht die IMEI z.B. auf der Rückseite 🙂
„ich behaupte jetzt einfach mal, dass ein Großteil eurer wichtigen Kontakte auch bei Facebook ist.“
Nein ist sind sie (150) nicht bis auf 2 nicht 🙂
Trotzdem sollten die Macher da mal handeln
Facebook eine alternative?
1. Dafür muss ich bei Facebook angemeldet sein. Mein Gegenüber auch. Und wir müssen uns gegenseitig als „Freunde“ hinzufügen (?). Telefonnummern habe ich viele und freue mich immer wenn ich neue Kontakte in WhatsApp habe ohne jemanden „geadded“ zu haben.
2. Klar, da kommt vielleicht zur Zeit keiner an meinen Account um Daten zu schicken. Aber dafür werden mit Sicherheit alle Daten bei Facebook erfasst. Und wenn möglich verkauft. Die Anleger wollen ja irgendwie Profit sehen.
Wer mehr über die Sicherheit von Whatsapp, Viber & Co. wissen will, sollt einmal hier hineingucken: http://www.sba-research.org/wp-content/uploads/publications/ndss2012_final.pdf. Leider ziemlich viel Text und dazu noch auf Englisch. Aber wer es gelesen hat, der überlegt sich ob er nicht doch lieber wieder wieder Briefe schreiben sollte 🙂