WhatsApp unsicher? Ja, immer noch

29. November 2012 Kategorie: Backup & Security, Internet, Mobile, geschrieben von: caschy

WhatsApp kommt nicht aus den negativen Schlagzeilen heraus. Berichte über Sicherheitslücken kommen im Monatstakt heraus und wenn man denkt, dass die Jungs die Kurve bekommen, gibt es die nächste Klatsche. Was jetzt wieder (oder immer noch) akut ist? Es lassen sich weiterhin Accounts kapern, sofern IMEI und Telefonnummer des Opfers bekannt ist. Beides Daten, die nicht soooo schwer herauszubekommen sind.

Hier greift die Lücke, über die ich schon im September berichtet habe. WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf  eine nicht so gute Form der Authentifikation.

WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters. Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren. Ende September berichtete ich dann noch einmal über ein Script, welches diese Lücke ausnutzte und die WhatsApp-Nutzung zusätzlich per Web möglich machte.

Ein neues Script, welches den Jungs bei Heise vorliegt, scheint nun wieder die gleiche Lücke auszunutzen. Es war wieder möglich, einen Account-Klau bei WhatsApp durchzuführen. Erschreckend war die Reaktion der Betreiber. Auf Presseanfragen reagieren die eh nie und auch nach der Kontaktaufnahme durch Heise blieb es ruhig. Einige Tage später meldete sich dann doch jemand, erkundigte sich, welche Version der App betroffen ist. Seitdem wieder Funkstille, obwohl genauere Informationen über das verwendete Script angeboten wurde.

Manche lernen es wohl nie. Und das sind sicherlich die WhatsApp-Macher. Aber auch viele Nutzer, die trotz des besseren Wissens Aussagen wie “Meine Gespräche sind nicht so wichtig und enthalten keine brisanten Informationen” treffen.

Leute, es mag sich bescheuert anhören: ich behaupte jetzt einfach mal, dass ein Großteil eurer wichtigen Kontakte auch bei Facebook ist. Nutzt den verdammten Facebook-Messenger! Der arbeitet auch mit eurer behämmerten Datenverbindung. Sofern iOS und Android vorhanden sind, pusht der Kram auch direkt.

Nachtrag: und noch besser ist es, wenn ihr alle Kontakte löscht, die an Kettenbriefe und so einen Quatsch glauben, aktuell geht dieser Kram rum:

Nachricht von Jim Balsamico (CEO der Whatsapp) Wir haben zu viele Nutzer auf Whatsapp. Wir bitten alle Nutzer, diese Botschaft an die gesamte Kontaktliste weiterzuleiten. Wenn Sie nicht weitergeleitet wird, nehmen wir Ihr Konto als ungültig und es wird innerhalb der nächsten 48 Stunden gelöscht. Bitte diese Meldung NICHT ignorieren, sonst wird Whatsapp die Aktivierung ihres Kontos nicht mehr erkennen. Wenn Sie ihr Konto wieder aktivieren wollen nachdem es gelöscht wurde, wird eine Gebühr von 25,00 auf Ihre monatliche Rechnung hinzugefügt.

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 16475 Artikel geschrieben.


63 Kommentare

Frank Oltmanns-Mack 29. November 2012 um 16:42 Uhr

Hat denn KakaoTalk das gleiche Problem mit der Sicherheit? Weil KakaoTalk ist wirklich 1:1 wie whatsapp und sogar noch besser…

Zizou 29. November 2012 um 16:44 Uhr

@caschy

Hattest du nicht letztens hier noch einen Artikel darüber geschrieben dass WhatsApp jetzt kostenpflichtig ist? Mit sonem schnippischen Satz wie (sinngemäß) “Wer nicht bereit ist die 80 cent für so nen super Service zu zahlen gehört wohl zur Generation kostenlos und Raubmordkopierer”?
Oder war das wieder der gute Casi?

Zizou 29. November 2012 um 16:54 Uhr

http://stadt-bremerhaven.de/whatsapp-kostenpflichtig-die-ersten-zahlungsaufforderungen-schlagen-ein/comment-page-3/#comments

Den hier meine ich. Und den Satz fand ich daran besonders toll:

“Lange Rede, kurzer Sinn: wer fleißig nutzt aber diskutiert, dass der Dienst kostenpflichtig wird und nicht gewillt ist, die knapp 80 Cent im Jahr zu zahlen, der hat einen an der Waffel. Ich denke nicht, dass es generell die WhatsApp-Sparfüchse sind, die so denken. Eher die Generation Kostenlos, die nicht gewillt ist, für gute Dienste Geld auszugeben. ”

War übrigens Casi. Vielleicht solltet Ihr mal Rücksprache darüber halten was Ihr so schreibt. Wirkt auf mich nicht so toll wenn der eine Artikel sagt: “Der Service is perfekt und wenn ihr nicht dafür bezahlt seid ihr bescheuert”. Und der nächste sagt: “Die App ist total für Arsch und rate jedem sie auf keinen Fall zu benutzen”.

nico 29. November 2012 um 17:12 Uhr

Mir sind die Lücken Wurst, da offline auch Nachrichten (Postkarte..) auch mit gelesen werden können. Eine SMS oder email kann auch leicht belauscht/gefälscht werden!

Zizou 29. November 2012 um 17:17 Uhr

@nico

Dein Konto kann auch leicht leergeräumt werden. Also gib mir einfach dein ganzes Geld.

Franky 29. November 2012 um 17:32 Uhr

OK, das stimmt schon, du hast recht! :)

Grazer (@greenemption) 29. November 2012 um 20:00 Uhr

sms wenns wichtig ist
und das noch verschlüsseln mit pgp sms.
was soll man sonst machen…
https://play.google.com/store/apps/details?id=com.woodkick.pgpsms

Grazer (@greenemption) 29. November 2012 um 20:02 Uhr

für die wichtigen sachen: pgp sms für android, einfach mal googlen


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.