Webseite demonstriert WhatsApp-Lücke, Webnutzung ohne Passwort ohne Probleme möglich

Die FILSH Media GmbH aus Essen demonstriert momentan auf einer Webseite, wie schwer die Sicherheitslücke von WhatsApp wiegt, die trotz Bekanntheit immer noch nicht von den Entwicklern geflickt wurde und damit beweisen dürfte, dass den Betreibern in Sachen Security nicht viel am Herzen liegt, oder dass man einfach unfähig ist. Das Problem hatte ich Anfang September schon einmal beschrieben, es betrifft den Login-Mechanismus von WhatsApp.

WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf  eine nicht so gute Form der Authentifikation. WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters. Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren.

Der WhatsApp Web Client funktioniert auf eben jene Weise. IMEI oder WiFi-MAC nebst Telefonnummer eingeben und schon könnt ihr als völlig andere Person WhatsApp-Nachrichten verschicken. Es dürfte nicht allzu schwer sein, diese beide Daten bei Menschen herauszubekommen, ein paar unbeobachtete Momente reichen.

Ich habe den Spaß eben getestet und kann nur sagen: liebe WhatsApp-Entwickler, lasst euch was einfallen – allen anderen kann man eigentlich nur noch von der Benutzung abraten. Das Kuriosum: die Webseite bietet etwas an, was sich viele Nutzer von WhatsApp wünschen: die Nutzung im Browser.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

86 Kommentare

  1. hoffentlich geben die jetzt mit joyn endlich mal gas, meiner ansicht nach der einzige dienst, der es mit whatsapp aufnehmen kann. derzeit gibt es aber zb. noch keine joyn app fürs iphone und alle mobilfunkbetreiber unterstützen den dienst auch noch nicht.

  2. Wenn ich auf den Link klicke wird der Webclient nicht angezeigt. Nur die Beschreibung.

  3. Jetzt funktioniert es.
    War wohl überlastet.
    Die Sicherheitslücken sind wohl den wenigsten bekannt. Vielleicht erreicht man so eine gewisse Öffentlichkeit.

  4. @HO: Wenn dann mal nicht ein joyn 0,20 € kostet…

    Vielleicht sollte mal der Facebook Messenger ein wenig gass geben. Funktioniert ja eigentlich genauso wie Whatsapp. Fast alle sind bei Facebook und das Chatten funktioniert ausm Browser.

  5. Wenn es denn den Quellcode offen gäbe, dass man ihn sich selber installieren könnte.

  6. Ein Gutes hat das ganze…ich such schon lang ein Webclient für WhatsApp 🙂

  7. Joyn ist wohl der einzige Dienst, der es mit Sicherheit nicht mit whatsapp aufnehmen kann.
    Wer zahlt denn heute noch für einen Dienst, den er auch umsonst bekommt? Und dann noch solche Summen…
    Und der Bonus, dass es auf allen Geräten verfügbar ist, zählt auch nicht, denn erstens ist er nicht auf allen erreichbar und zweitens, bis die das nur mal halbwegs gescheit hinbekommen haben, hat auch fast jeder ein Smartphone.
    Und im Notfall bleibt immer noch sms und mms.
    Joyn wird floppen!!!

  8. Hoffentlich ist der Anbieter der Webseite vertauenswürdig. Schließlich bekommt der durch das Formular einen Haufen IMEIs in die Hand. Den Dienst sollte man daher m.E. am besten nur mit IMEIs alter, unbenutzter Telefone verwenden.

  9. Die Sicherheit der WhatsApp war ja schoin länger in der Diskussion. Hoffe das reicht nun um den Leuten zu zeigen, diese schreckliche nicht mehr zu benutzen…Offene Standards 4tw!

  10. Ja, ich bin vertrauenswürdig 🙂 Es wird nichts mitgeloggt!

  11. WOW!!!

    Wichtige Info! In österreich kann man die IMEI von jedem Telering/T-Mobile Vertrag online abrufen! :O

  12. joyn wird aus genannten Gründen definitiv floppen. selbst wenn es durchgängig komplett kostenlos angeboten werden würde hätte es der Dienst schwer er kommt einfach viel zu spät.

  13. Wie wäre es mit MySMS als Alternative. Joyn wird wohl noch dauern und ist dann wohl genauso teuer wie eine SMS außer mit Datenflat im Vodafone-Netz. Schade Whatsapp. Irgendwie auf dem Hype ausgeruht. Jetzt muss was passieren, sonst geht es abwärts.

  14. @Nils und @elknipso: Ich glaube ihr habt an joyn was falsch verstanden: Das nutzen von joyn über internet ist genauso kostenlos wie es whatsapp ist. Leidiglich das nutzen ohne das internet (also quasi für leute ohne internetvertrag) wird es als sms-alternative angeboten, welche eben dann vergleichbar viel kostet…

  15. Was ich so Schade finde ist doch dass WhatsApp die Welt zu Füssen liegt. Die Jungs haben es mit einer sehr simplen Idee geschafft die Massen zu bewegen und sogar zu zahlenden Konsumenten zu machen in dem sie die Idees des Chat einfach neu verkauften- und zwar als Online SMS. Und wie die Rechnung aufging! Auch ich bin davon begeistert, obwohl ich Chat Dienste schon seit Jahren benutze, dieser hier als einziger kostenpflichtig ist und am Unflexibelsten.

    Die sollte ihre Problem schleunigst in den Griff kriegen und zum einen der sichersten Netze werden, dann noch ein WebClient und schon können die mit dem WhatsApp Umsatz locker bis zur Rente leben. Aber begreifen wollen die es einfach nicht…

  16. Die einzig wahre Alternative ist der Facebook Messenger. Das neusten Update geht von der Darstellung auch in die WhatsApp-Richtung. Und die User-Base ist bekannt.

  17. Für Web basierte msg gibts doch
    Mysms.
    http://www.mysms.com/de

    Zudem kann man darüber sogar Dateien senden, die weder whatzapp noch chaton gebacken bekommen. Chaton kann auch immer noch nicht via Web

    Https ist Standard.

    Einfach mal antesten 😀

    Wir sind umgestiegen.
    Ignoranz a la whatzapp muß bestraft werden.. 😉

  18. @lego: kostenpflichtig?
    @Normann: Es wird noch lange nicht abwärts gehen. Leider sind 95% der User solche Sicherheitslücken völlig Wurst.

  19. Facebook Messenger…. manchmal glaube ich die Leute sind mit Absicht so extrem ignorant und borniert. Da nutze ich lieber WhatsApp mit dieser und noch 10 Sicherheitslücken oben drauf bevor ich mich bei Facebook anmelde und den Scheiß verwende.

  20. Also ich weiß wegen den Sicherheitslücken bescheid und meine Kollegen auch. Aber wir nutzen es weiterhin, warum? Weil wir sachen schreiben aus dem keiner irgendwie Profit ziehen könnte. Wir senden einfach nichts vertrauenswürdiges. Ich finde eine Alternative gibt es kaum, daher sollen die Entwickler die Probleme in den Griff bekommen!

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.