WhatsApp unsicher? Ja, immer noch

29. November 2012 Kategorie: Backup & Security, Internet, Mobile, geschrieben von: caschy

WhatsApp kommt nicht aus den negativen Schlagzeilen heraus. Berichte über Sicherheitslücken kommen im Monatstakt heraus und wenn man denkt, dass die Jungs die Kurve bekommen, gibt es die nächste Klatsche. Was jetzt wieder (oder immer noch) akut ist? Es lassen sich weiterhin Accounts kapern, sofern IMEI und Telefonnummer des Opfers bekannt ist. Beides Daten, die nicht soooo schwer herauszubekommen sind.

Hier greift die Lücke, über die ich schon im September berichtet habe. WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf  eine nicht so gute Form der Authentifikation.

WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters. Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren. Ende September berichtete ich dann noch einmal über ein Script, welches diese Lücke ausnutzte und die WhatsApp-Nutzung zusätzlich per Web möglich machte.

Ein neues Script, welches den Jungs bei Heise vorliegt, scheint nun wieder die gleiche Lücke auszunutzen. Es war wieder möglich, einen Account-Klau bei WhatsApp durchzuführen. Erschreckend war die Reaktion der Betreiber. Auf Presseanfragen reagieren die eh nie und auch nach der Kontaktaufnahme durch Heise blieb es ruhig. Einige Tage später meldete sich dann doch jemand, erkundigte sich, welche Version der App betroffen ist. Seitdem wieder Funkstille, obwohl genauere Informationen über das verwendete Script angeboten wurde.

Manche lernen es wohl nie. Und das sind sicherlich die WhatsApp-Macher. Aber auch viele Nutzer, die trotz des besseren Wissens Aussagen wie “Meine Gespräche sind nicht so wichtig und enthalten keine brisanten Informationen” treffen.

Leute, es mag sich bescheuert anhören: ich behaupte jetzt einfach mal, dass ein Großteil eurer wichtigen Kontakte auch bei Facebook ist. Nutzt den verdammten Facebook-Messenger! Der arbeitet auch mit eurer behämmerten Datenverbindung. Sofern iOS und Android vorhanden sind, pusht der Kram auch direkt.

Nachtrag: und noch besser ist es, wenn ihr alle Kontakte löscht, die an Kettenbriefe und so einen Quatsch glauben, aktuell geht dieser Kram rum:

Nachricht von Jim Balsamico (CEO der Whatsapp) Wir haben zu viele Nutzer auf Whatsapp. Wir bitten alle Nutzer, diese Botschaft an die gesamte Kontaktliste weiterzuleiten. Wenn Sie nicht weitergeleitet wird, nehmen wir Ihr Konto als ungültig und es wird innerhalb der nächsten 48 Stunden gelöscht. Bitte diese Meldung NICHT ignorieren, sonst wird Whatsapp die Aktivierung ihres Kontos nicht mehr erkennen. Wenn Sie ihr Konto wieder aktivieren wollen nachdem es gelöscht wurde, wird eine Gebühr von 25,00 auf Ihre monatliche Rechnung hinzugefügt.


Vielen Dank für das Lesen dieses Blogs! Wenn ihr uns unterstützen wollt, dann schaut euch auch den HP Konfigurator an, welcher auf einer separaten Unterseite geschaltet wurde: HP Konfigurator. Außerdem haben wir noch Informationen über das HP ElitePad 1000 G2 und dieses verlosen wir auch!

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 17911 Artikel geschrieben.