Hike überträgt unverschlüsselt Klartext

Bei all der Euphorie um den Messenger Hike, der sich aus Indien aufgemacht hat, sollte man die Sicherheit nicht vergessen. Denn im Gegensatz zu vielen anderen Messengern überträgt Hike derzeit unverschlüsselt. Heißt: wenn ihr in meinem WLAN seid, dann kann ich eure Nachrichten mitlesen, inklusive Telefonnummer. Und mein WLAN ist natürlich nur ein schlechtes Beispiel, bei Langeweile treibt man sich halt mit einem Sniffer in offenen Netzwerken bei McDonalds, Starbucks und Co rum.

Ich weise noch einmal auf einen älteren Beitrag von mir hin, der auf die Verschlüsselung von Hike eingeht. Dort heißt es, dass man an einer 128 Bit starken SSL-Verschlüsselung arbeitet. Aber verschlüsselt wird bis dato nichts. Da ist bis jetzt der Bindfaden zwischen zwei Blechdosen sicherer. (danke an Klaus für Test und Screenshot!)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

65 Kommentare

  1. Wenigstens die Handynummer ist verschlüsselt! 😉

  2. warum bringen die den net erst raus wenns fertig ist … unverständlich …

  3. Und warum genau bewirbst du es dann hier wie die Hölle? Das is ja noch schlimmer als Whatsapp. Daten irgendwo in Indien und Klartext… Nein danke.

  4. Bekommst du Geld dafür, das du Werbung für die Machst????????

  5. Andre: Bekommst du Geld für doofe Kommentare? #Troll

  6. Ja sicher, ich werde fürs Kommentare schreiben bezahlt!

  7. @caschy Tolle Antwort. Seine Frage ist berechtigt. Du verbreitest das Ding hier wie die Jubelperser als Whatsapp Alternative und jetzt kommt raus, dass der Mist genauso unsicher ist wie Whatsapp. Da kommen schon die Fragen auf, welche Motivation du hast das Ding so zu pushen. Die Qualität von dem Teil kanns zumindest nich sein.

  8. Sie haben im Blog auch nie davon geredet, dass die 128bit Verschlüsselung schon aktiv ist. Diese soll erst Ende des Jahres (diesen Monat wohl) kommen…

  9. SavanTorian says:

    also auch nicht besser, als WA… wer über solche dienste vertrauliche daten sendet, hat sowieso nicht mehr alle tassen im schrank, obwohl, da vermutet man brisantes material am wenigsten 😀

  10. Verstehe den Hype um hike auch nicht so ganz. Aber Caschy ist auf keinen Fall der einzige, der da mitmachen – um den wirklich unsinnigen „Gerüchten“ mal entgegenzuwirken. Chip Online hat sich hike auch direkt gewidmet

    https://www.facebook.com/photo.php?fbid=10151294578628307&set=a.182846728306.126323.179800383306&type=1

  11. Es bleibt unverständlich, warum man den Content nicht einfach verschlüsselt. Warum „Ende des Jahres“ und nicht sofort? Das ist doch nun wirklich kein Akt …

  12. @Andre Caschys eigener Aussage nach, schreibt die Chip aber eh nur bei ihm ab.

  13. Die wohlen wohl zuerst schauen wie es läuft und Daten sammeln, bevor sie mehr Geld investieren.

  14. @Martin Kann ich jetzt nicht genau beurteilen, aber mir durchaus gut vorstellen 😉

  15. warum wird hike so gehyped? mySMS kann das alles schon lange…

  16. Mal so zur Info ich benutze kein Proxy!!!!!

  17. @Dr.Gimpfen: doch, transparent sind sie, ich befinde mich sogar im Austausch (mal wieder) https://twitter.com/hikesupport/statuses/276327702628274176

  18. 😀 Er wohnt halt in Tunesien

  19. Auf der einen Seite verstehe ich die Kritik an Cashy, aber man sollte doch auch bedenken dass er kein Fachmann man ist. Er bloggt hier über Dinge, die er selbst interessant findet. Man sollte beim Lesen seinen Kopf einschalten.

    Viele dieser Blogs sind keine „Fachblogs“ sondern einfach Infos fürs Volk.

    Wenn beispielsweise über ein Full-HD Display im Handyformat geschrieben wird, findet man selten kritische Hinterfragungen ob denn eine so hohe Pixeldichte einen Mehrwert bietet. Auge und Interaktionstechnik als limitierende Faktoren werden kaum benannt.

    Also lieber Leser einfach mehr Mitdenken und nicht nur stumpf konsumieren. Hätte Cashy vor gefusst, dass Hike unverschlüsselt übermittelt hätte er zu 100% mitgeteilt. Achja er hat nie Hike beworben…

  20. @Caschy Ich hab nich behauptet, dass du Geld dafür bekommst. Ich kann aber auch nich erkennen, dass die Qualität von dem Teil der Grund is warum der hier so nen Haufen beiträge bekommt. Gibt ja auch nich wenig andere von diesen Messengern, die hier allerdings keine Erwähnung finden.
    Im Übrigen hast du das mit der Chip in den falschen Hals bekommen. Ich will die keineswegs verteidigen.

  21. @Martin: und jetzt suchst du bitte hier im Blog mal nach Messenger 😉 Diese Yuilop, MySMS, Viber-und Co-Dinger bringe ich doch schon gar nicht mehr, nachdem ich bei deren PM-Leuten mal nach Finanzierung und Co gefragt habe“

  22. Um hier mal einen neutralen Standpunkt einzubringen: Ich würde auch über einen Messenger berichten, der von sich selbst sagt, alles mit einer 128bit-Verschlüsselung zu übertragen. Pre-Release-Artikel müssen sich nun mal auf die Angeben der Devs stützen, das geht nicht anders. Wenn dann so ein dienst wie hike daherkommt, der von sich selbst sagt, alle relevanten Sicherheits-Features mitzubringen, warum nicht.

    Allerdings muss ich dazu sagen, dass ich die ständigen „WhatsApp-Alternativen“-Artikel (in Tech-Blogs allgemein) auch etwas nervig finde. Wobei die Dichte diesbezüglich hier ziemlich gering ist.

    Außerdem diskutieren wir gerade alle einen Artikel, der dem ganzen wieder den Wind aus den Segeln nimmt. Sollten wir lieber froh sein, dass das schon ein paar Stunden nach Release passiert. Besser als hike als sicheren Messenger auch nach Release in den Himmel zu loben. Von daher: beruhigt euch mal wieder alle 😉

  23. Und Blogs schreiben nicht bei Blogs ab? 🙂

    Wie dem auch sei, finde die Kritik hier schon berechtigt. Es ist legitim auch mal Produkte zu pushen, von denen man selber Fan ist – wenngleich das ein äußerst schmaler Grat ist und es daher immer ein „Geschmäckle“ hat.
    Dennoch finde ich, dass es hier bei „Hike“ schon strange ist. Ich war heute auch irritiert hier gleich drei Beiträge zu finden über ein Produkt, dessen Mehrwert (wie auch schon in den Kommentaren geäußert) absolut rätselhaft ist. Lustigerweise wurde da als Mehrwert ab und an „Sicherheit“ genannt und wie Klaus schon sagt: Es macht NULL Sinn, die Verschlüsselung nicht jetzt zu implementieren.
    Was mich im Endeffekt nur zu dem Fazit bringt, dass hier ein Produkt angepriesen wird (ob aus Teilnahme an einem „Hype“ oder aus anderen „Gründen“), dass anscheinend selber noch nicht mal ausführlich getestet wurde, was ich immer etwas unglücklich finde, weil Werbebroschüren lesen kann ich auf der Werbebroschüre.

    Genauso wie das trollen nervig ist, ist es halt auch todesnervig wenn hier bei jeder Kritik mit „Troll“ geantwortet wird.

  24. @Maria: ich hab da aber überhaupt kein Prob mit. Nur irgendwann platzt mir mein fetter Arsch. Heute sponsert Microsoft, morgen Apple, dann wieder Hike……das ist absoluter Schrott und nervt.

  25. also ich freu mich über jeden beitrag in der richtung und bin immer froh, wenn man auf neu erscheinende alternativen hingewiesen – und sogar auf dem laufenden gehalten – wird. ihr seid doch alle alt genug um selbst zu entscheiden, ob ihr das dann nutzen wollt oder nicht. wenn’s euch wie werbung vorkommt, müsst ihr es ja nicht lesen!

    @cashy: bitte einfach weiter drüber berichten….es wird genug geben, die das interessant finden und gerne lesen.

  26. Manchmal würde man sich halt einfach mal umfangreichere Artikel wünschen, bei denen man das Gefühl hat das wirkliche Informationen transportiert werden sollten. Beim Thema Hike wirkte es für mich eher wie ein Liveticker hier, Hauptsache der erste sein, schnell irgendwas „hinrotzen“ und raus damit. Nach 2 Stunden dann der nächste Artikel, mit kaum neuen Informationen, wo es auch ein Update des alten getan hätte.

  27. Mir sind die vielen Hike berichte auch aufgefallen, konnte auch keinen wirklichen Mehrwert entdecken. Kenne das Blog noch aus ganz frühen Tagen, damals gab es noch ganz viele Tipps aus der OpenSource Ecke. Heute ist der Fokus bei Lesern wie Bloggern natürlich mehr auf Apps und Gadgets ausgerichtet. Aber mich würde es schon noch freuen, wenn hier gelegentlich nicht kommerzielle Dinge vorgestellt werden. Wie wäre es beispielsweise mal mit einer Software wie Retroshare? Gibt es zwar noch nicht für Smartphones, ist aber ein interessanter Ansatz, unabhängig und verschlüsselt. Kann im Freundeskreis durchaus Skype und Dropbox ersetzen.

  28. @caschy: Reg dich bitte ned so uff wegen den Trolls! 😉 Wir brauchen dich noch für viele weitere gute Beiträge in deinen Blogs!

    BTW: WhatsApp hat ja was gekostet im AppStore (für iOS), wie finanziert sich Hike?

  29. Ob angekündigt oder nicht, wer heutzutage solche Apps ohne Verschlüsselung veröffentlicht, für mich echte Stümperei. Tausend Features einbauen, aber so was grundlegendes fehlt…

  30. also ich finde hike toll, auch wenn die Verschlüsselung noch nicht umgesetzt ist, ist es mir 1000x syphatischer als WhatsApp wo keiner weiß wer dahinter steht..

  31. @Termi: Das Problem ist, dass knapp 30.000 RSS-Leser eine Update nicht mitbekommen, ebenso die Facebook- und Google-+Verfolger.

  32. @Johannes Stimmt, absolut keiner… *hust* http://www.ftd.de/it-medien/it-telekommunikation/:sms-ersatz-die-mysterioese-story-von-whatsapp/70027568.html Wer steckt den so hinter Hike? Wie Finanzieren sie sich so? WhatsApp hat bei iOS direkt Geld genommen, jetzt auch bei Android, bei Hike -> Fehlanzeige.

  33. @termi: Umfangreiche Artikel sind zeitaufwändig und bringen (meist) nichts ein. Wenn du in der Liga eines Caschy mitmischen willst, kommt es auf Menge, Aktualität und Keywords an und da muss man halt jede Sau mit durchs Dorf treiben.

    Wenn das Gejammer um WhatsApp die Runde macht, liegen eben Beiträge zu Alternativen nahe – die in den letzten Wochen ja praktisch jedes Magazin inkl. Stern und Spiegel hatte. Dann passieren halt auch mal solche Ausreißer wie bei Hike&SSL.

    Als Blogger kann man aber nicht das Denken für die Leser übernehmen, sondern nur informieren und anregen. Ob die Software, das Gadget oder das Smartphone XY letztendlich was für einen ist muss man selbst entscheiden und spezialisierte Quellen bemühen.

    Für den Blogger zählt nur die Popularität und die Anzahl der Besucher, weil damit kann man Geld verdienen …

  34. So, da drei Klicks für die meisten wohl zu viel verlangt sind, fasse ich zusammen, warum Hike noch kein SSL hat: Die Erlaubnis, Verschlüsselung in den USA zu nutzen, muss erst eingeholt werden. Quelle: http://hike.in/blog/security/security/
    Dass ein vernünftiger Mensch einfach die Erlaubnis abgewartet hätte, um dieser unnützen Diskussion aus dem Weg zu gehen, sehe ich genauso.

    Was die „Transparenz“ angeht, reagieren sie sehr schnell, siehe mein Post hier (v.a. bez. Design der Android-App, aber auch dem Ländervorwahl-Bug): http://support.hike.in/help/discussions/suggestions/50-what-could-be-better-in-hike

    Wie sie jetzt den Offline-Message-Storage mit SSL in Einklang bringen wollen, darüber schweigen sie sich aus. Aber ich werde nachbohren.

  35. Denkt ihr alle auch mal nen Meter weiter bzw. in diesem Fall zurück? Ihr fragt ernsthaft, warum caschy über eine so unsichere App so viel schreibt? Srsly? Denkt doch mal darüber nach, wie sich die Hike Story entwickelt hat:

    Zuerst hieß es, dass Hike mit SSL kommt und da ist es doch klar, dass hier ein Beitrag erscheint, wo Hike als sichere WhatsApp Alternative angepriesen wird. Erst später kam dann raus, dass Hike NOCH kein SSL hat, worüber cashy auch schrieb. Dennoch kann man bei einem Tech-Blog davon ausgehen, dass über den Roll-Out in Deutschland geschrieben wird, und so wars dann auch.

    JETZT stellt sich eben raus, dass alles unverschlüsselt übertragen wird und caschy informiert uns und warnt.

    Da greif ich mir an den Kopf, wenn ich hier manche Kommentare lese

  36. Add: Der Bug ist übrigens wirklich behoben. Un-link Account, nochmals anmelden, fördi!

  37. Verstehe nicht, was sich hier „alle“ so anpissen!? Wenn ihr doch der Meinung seid, Caschy würde x-Tausend Euro von Hike bekommen und dies passt euch nicht, dann einfach nicht lesen.
    @ Maria: Zum Thema „abschreiben“ gibt es mehrere Ansichten. Wenn man eine Quelle hat, dann sollte man diese angeben. Das machen auch viele Blogs und das auch so gut sie können. Auch Caschy gehört zu den Leuten, die ihre Quellen angeben!
    @ Johannes: sehe ich ähnlich.
    @ termi: Ich denke, dass das Prinzip von WA schon klar ist. Immerhin keine Werbung, dafür bezahlen. Aber abwarten wie der Markt sich entwickelt, muss man trotzdem. Ein Quasi-Monopolist zu haben ist immer doof. Was aber schockiert ist die Tatsache, dass es keinen juckt was die machen. In meinem Freundeskreis kümmert es KEINEN wie die Sicherheit von WA ist. Die nutzen es, egal was passiert – zumindest bisher!

  38. Leute, wir sind Blogger. Wir schreiben über alles was uns einfällt und bekommen für viele Artikel keinen Cent! Na klar ist der ein oder andere Artikel wie Werbung für die genannte Firma, es geht aber hauptsächlich darum dass wir Informationen weitergeben und Spaß an der Sache haben!

  39. @Marc: Ja, „srsly“. Man kann das Ganze natürlich auch darstellen wie du es getan hast und „danken“, dass uns caschy „gewarnt“ hat. Das wäre auch super, wenn er das selber rausgefunden hätte. Es war aber ein Leser, der es ausprobiert hat – was nichts an der Wertigkeit der Information ändert und ja, caschy, hat selbstverständlich die Quelle angegeben.
    Es geht hier aber in erster Linie darum, dass die Informationen des Autors nicht über die Werbephrasen hinausgehen, obwohl er so euphorisch ist. Da kann man (eventuell?) erwarten, dass der Autor sich die Mühe macht und selber recherchiert und auch die – wieder – in den Kommentaren verlinkte Information, warum noch keine Verschlüsselung existiert, in den ersten Artikel einpflegt.
    Im Grunde genommen ist es aber halt auch, wie oben schon gesagt. In der „caschy“-Liga geht es in erster Linie um Klicks und Schnelligkeit, da ist es dann eventuell auch zu viel Naivität des Lesers, hier tiefgründige Informationen zu erwarten.

  40. Man möchte bei manchen Kommentaren glauben, die Leute beziehen dieses Blog als Abo und löhnen monatlich 40€ dafür – und nun wurde ihnen eine lebenswichtige News zu spät offeriert!
    Worüber hier geschrieben wird wollt ihr Caschy jetzt vorschreiben? OK – ich hatte mich unlängst auch mal über meiner Ansicht nach zuviel Content zu einem bestimmten Thema aufgeregt; aber Leute so etwas ist einfach unfair. Schreibt selber Blog oder lest Computerbild .. 😉

  41. Laut dem Screenshot oben wurden die Nachrichten mit Wireshark ausgelesen. Wie lässt sich das in meinem heimischen WLAN reproduzieren?

  42. Lars (Skygod) S. says:

    Wie dein Name aber schon vermuten lässt, ist die Cash im Sinne von $$$ sehr wichtig! Ich habe hier vor einiger Zeit gelesen das du nur noch als Blogger arbeitest, also muss der Cash ja durch das verfassen von Artikeln erwirtschaftet werden. Deshalb sind die Fragen nach der Motivation der Cashgenerierung im Zusammenhang mit dem pushen von zweifelhaften Tools durchaus berechtigt.

  43. Tja, Chefkoch – da hättest du mal aufpassen sollen, wie ich mich finanziern. Schrieb ich neulich nämlich lang und schmutzig. Auch bei dir (Lars) bedanke ich mich natürlich gleich für deinen ERSTEN Kommentar! Übrigens: wenn man zu doof zum lesen ist, dann soll man das lassen – in Bezug auf Spitzname.

  44. Da heut ja „kritiktag“ ist… ich finds doof, dass z.B. sowas hier: http://blog.getgoods.de/intel-reduziert-stromverbrauch-in-den-prozessoren/ nicht mehr hier im Blog erscheint… dafür kriegt ich am Tag aber 2 kostenlose Trashapps angeboten… ich muss ehrlich sagen – auch wenn man Caschy nichts vorwerfen sollte – dass ich „früher“ den Content hier qualitativ hochwertiger fande..

  45. Und wenn euch Hike nicht interessiert, dann überlest es halt – wen juckts? Ich persönlich berichte anderen auch lieber über meine persönlichen Vorlieben, was Hardware und Software angeht und dann hau ich auch einmal mehr n Update dazu raus. Ihr habt alle Probleme ey…Btw.: Suchen wir nach einer Alternative zu Whatsapp der Sicherheit wegen oder weils jetzt doch mal was kosten soll?

    Was die Kosten angeht. Da zahl ich dann doch lieber 79 Cent als dass ich ne weitere Software hab, die vollgestopft mit Werbung ist oder so….

  46. Ich kann ja verstehen, dass alle so scharf auf ne Whatsapp-Alternative sind, aber warum dann wieder nur halbe Sache? Ich mein SSL ist ja schön für das McDoof Beispiel, aber an der Tatsache, dass Hike dennoch den kompletten Messengerverkehr schön brav auswerten kann ändert das auch nix…
    Eine Client-To-Client Verschlüsselung wäre ne wirklich tolle Sache.

  47. Es macht die Sache zwar nicht wirklich besser, aber um ganz korrekt zu sein, geht das Mitlesen meines Wissens nach nur in WEP, WPA oder garnicht verschlüsselten Netzwerken. Bei WPA2 sollte jeder Client einen eigenen Key bekommen…

  48. Ich bin da echt null bewandert glaube ich, vllt. kann mir ja einer von euch helfen:
    wie groß ist die chance, dass ich in einem öffentlichen w-lan sitze und „vertrauliche daten“ schicke (welche denn z.B.?) während im selben moment jemand im raum ist, der alles mitschneidet und daraufhin irgendwie verwendet?
    welche möglichkeiten mir zu schaden gibt es da, außer pin-nr zu meinem bankkonto und dann karte klauen?

    danke 🙂

  49. @camo wenn man sich der Sache bewusst ist, dass die Kommunikation nicht verschlüsselt ist und quasi problemlos mitgehört werden kann, wird die Chance wohl eher gering sein, viele wissen es aber nicht und schreiben alles mögliche über WhatsApp und Co. Es muss ja nicht mal die Konto Nummer sein, für einige könnten zb auch private Gespräche mit der Freundin oder mit Kollegen genug brisanten Stoff liefern…

  50. Mögt ihr euch evtl. (auch bei aller gebotenen Hysterie hier in den Kommentaren 😉 ) einmal skunkit anschauen?
    Ist natürlich noch NICHT als Alternative zu sehn; aber es verfolgt doch bereits einen besseren Ansatz als jedweder andere Messenger. Sollte man zumindest auf dem Schirm behalten, auch wenns -Stand jetzt- nur für iOS zu haben ist (Android Version folgt).
    Hier -> http://www.skunkit.org

  51. Hike ist bei mir wieder runtergeflogen.

    Das Look and Feel gefällt mir nicht. Funktionen die andere Messenger bieten fehlen, unsichere Kommunikation (noch)… Was ich bei Hike nicht verstehe ist, warum sie ein (in meinen) Augen unfertiges Produkt auf den Markt bringen…. Viele werden es sich sofort installieren, testen, für ungenügend befinden, deinstallieren und dann wieder vergessen… ganz egal, was dann noch für tolle updates kommen, das Thema ist dann durch.

    Ich werde jetzt mit ChatOn rumtesten (auch wenn mir das da etwas zu bunt und verspielt ist) gebe ich dem Ding eine Chance. So weit ich weiß ist ChatOn verschlüsselt und bietet alles was man von WA auch kennt. Wenn jetzt noch dem StyleGuide von Google etwas mehr Gehör geschenkt werden würde…. dann wäre es rund.

  52. Ich kann nur darauf hinweisen das weChat (nicht verwechseln mit Chatone von Samsung) eine wirklich runde Sache ist… (http://www.wechatapp.com)

  53. Jetzt hats Cachy sogar schon in die ARD Nachrichten geschafft….
    http://www.tagesschau.de/multimedia/video/ondemand100~_id-video1226706.html

    Mach weiter so…1A Blog…

  54. Ist zwar noch nicht der 01.04.13, aber ich konnte es mir einfach nicht verkneifen, die wie hier mal wieder auftretenden Diskussionen zum Anlass zu nehmen, mich darüber zu amüsieren.
    @Cashy: Vielleicht machts dir das leichter, über bestimmte Kommentare zu lachen. 🙂

    Forscher der CTT sagen voraus: SMS (Short Message Service) groß im Kommen!
    http://icancompute.wordpress.com/2012/12/10/forscher-der-ctt-sagen-voraus-sms-short-message-service-gro-im-kommen/

  55. soweit ich es mitbekommen habe ist doch aber seit 9/1/2013 die verschluesselung aktive?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.