Webseite demonstriert WhatsApp-Lücke, Webnutzung ohne Passwort ohne Probleme möglich

Die FILSH Media GmbH aus Essen demonstriert momentan auf einer Webseite, wie schwer die Sicherheitslücke von WhatsApp wiegt, die trotz Bekanntheit immer noch nicht von den Entwicklern geflickt wurde und damit beweisen dürfte, dass den Betreibern in Sachen Security nicht viel am Herzen liegt, oder dass man einfach unfähig ist. Das Problem hatte ich Anfang September schon einmal beschrieben, es betrifft den Login-Mechanismus von WhatsApp.

WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf  eine nicht so gute Form der Authentifikation. WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters. Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren.

Der WhatsApp Web Client funktioniert auf eben jene Weise. IMEI oder WiFi-MAC nebst Telefonnummer eingeben und schon könnt ihr als völlig andere Person WhatsApp-Nachrichten verschicken. Es dürfte nicht allzu schwer sein, diese beide Daten bei Menschen herauszubekommen, ein paar unbeobachtete Momente reichen.

Ich habe den Spaß eben getestet und kann nur sagen: liebe WhatsApp-Entwickler, lasst euch was einfallen – allen anderen kann man eigentlich nur noch von der Benutzung abraten. Das Kuriosum: die Webseite bietet etwas an, was sich viele Nutzer von WhatsApp wünschen: die Nutzung im Browser.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

86 Kommentare

  1. @Leif: Mag sein, dass der Kakao Talk Messanger besser ist, er wird aber von kaum jemanden genutzt. Übrigens lohnen sich die Erfahrungsberichte vom Play Store ^^
    https://play.google.com/store/apps/details?id=com.kakao.talk

  2. @Ich-machs-richtig
    Wenn es möglich ist, Whatsapp mit Jabber zu verbinden, werden das sicherlich viele machen. Warum viele Whatsapp nutzen? Eine kurze Nachricht an eine Person, ohne komplizierte Umwege, die GUI ist durchdacht und ich kann international Nachrichten verschicken. Kakao hatte ich mal installiert, die GUI war grottenschlecht.

  3. Ich nutze schon ne weile eBuddy XMS als alternative zu WhatsApp. Ob das App besser ist, muss jeder für sich sich selbst entscheiden.

  4. Für mich ist WhatsApp damals bereits nach einigen Tagen Nutzung ausgeschieden. Wichtig war mir eine bequeme Möglichkeit auch am Rechner zu kommunizieren. Immer nur auf der Handytastatur zu tippen, kam mir bescheuert vor. Dienste/Protokolle, mit denen ich „aufwachsen“ bin, wie ICQ, Yahoo, MSN oder gar IRC nutzen auch nicht mehr alle.

    Die Entscheidung ging also in Richtung Facebook oder Google, obwohl ich beiden gleichermaßen nicht vertraue. Aber ich empfinde Facebook als das gefühlt größere Übel, und mit Google habe ich (durch die vielen vernetzten Dienste) einfach den weitaus größeren Nutzen für mich geozen.

    Facebook ist für mich ein Dienst, den man „leider“ heutzutage nutzen muss und nicht dran vorbeikommt. Als Androide bin ich aber sowieso immer in Google eingeloggt, daher erscheint mir die Nutzung von Google Talk logisch. Bequemer wird das Ganze für mich neuerdings da auch Thunderbird Google Talk offiziell unterstützt und man nicht mehr den GTalk Client benötigt.

    Wie sieht es bei euch aus? Vertraut ihr eure Daten mehr Google oder Facebook an? 🙂

  5. *aufgewachsen
    *gezogen

  6. Ich liebe diese Diskussionen. Habe meinen eigenen XMPP-Server am laufen, der nur für die Verwandschaft und Bekanntschaft eingerichtet ist. Natürlich alles mit OTR. Obwohl das eigentlich überflüssig ist.

    Dann bekommt jeder Xabber drauf, und alles kostet natürlich nix.

    Alle sin allem: Keine 5 Minuten für den XMPP-Server und Xabber ist genauso schnell eingerichtet wie Whatsapp!

  7. Warum nicht einfach das ganz normale offene Jabber/XMPP nutzen? Es ist ein Internetstandard, es gibt haufenweise Anbieter die miteinander verbunden sind (wie bei E-Mail, viele E-Mail-Anbieter wie Google, GMX oder web.de sind auch Jabber-Anbieter) und haufenweise Programme für alle möglichen Betriebssysteme. Kostenlos ist es auch.

    Ich sehe keinen Grund, mich an einen Anbieter durch Nutzung einen geschlossenen Systems zu ketten und meine Kontakte zu nötigen das gleiche zu tun (sonst können sie ja nicht mit mir reden). Und in ein paar Jahren gibt es den Dienst schon nicht mehr und man darf sich wieder was neues suchen.

  8. wieso setzt man nicht auf die jabber-platform?? ist auf jeden fall sicherer…

  9. Kennt Ihr Viber?
    Funktioniert wie WhatsApp und man kann auch noch drüber telefonieren.

  10. Wer bitte schön ist denn so dumm und tippt seine IMEI-Nummer (gerade wo doch bekannt ist das es unsicher ist) in ein Textfeld irgend einer Webside die nicht mal verschlüsselt ist?
    Spättestens nun besteht die Gefahr ernsthaft das sie in irgendeiner Datenbank liegt.

    Das grenz doch nun schon an dämlichkeit und nicht mehr an Dummheit.
    Da dann kann ich ja auch gleich meinen PIN von der Bank bei Facebook unter den Notizen ablegen.

  11. Nur das tolle an der Android Version ist, das die sich automatisch verlängert ohne was zu zahlen, bin nun beim 2Jahr und habe bisher 0€ bezahlt

  12. Ich bin ja mal gespannt wie die Reaktionen sind, wenn erstmal mit dieser Sicherheitslücke im großen Stil Unfug getrieben wird. Wie das aussehen soll weiß ich nicht, aber kreative Köpfe für sowas gibts (leider) immer…
    Ich für meinen Teil hab WhatsApp runtergeschmissen, ne gute Alternative (inkl. Web-Client) ist Samsung ChatOn, das gibts auch für alle Devices.

  13. @HO ja wirklich sicherer… bei Facebook muss es gar nicht erst dazu kommen das einer gewaltsam eindringt zwischen dir und deinem Daten Versand… mit Facebook gibst du die Daten direkt her, freiwillig an eben jene, die Schindluder damit treiben wollen.

    Was lächerlich ist, ist einzig und alleine deine Ignoranz und dein Versuch sowas wie Facebook zu verteidigen. Natürlich ist es keine gute Idee, WhatsApp zu nutzen mit solchen Sicherheitslücken, aber meine absichtliche Übertreibung sollte nur verdeutlichen wie bescheuert Facebook ist und wie lächerlich es ist, das so viele Menschen Gedankenlos einen der größten Idioten dieser Zeit freiwillig ihre Daten zu schieben (Mr. Zuckerberg) .
    Wenn man sich über den Typ mal ein wenig erkundigt, dann sollte man eigentlich kein Interesse mehr haben dort seine Daten zu lassen.

    Oder auch…. http://en.wikipedia.org/wiki/Common_sense

    Was anscheinend 90% der Facebook Jünger nicht besitzen.

  14. Habe deswegen schon vor Wochen(!) etliche große Magazine kontaktiert. Es ist also schon lange bekannt, aber niemanden hat es interessiert. Beispiele gab es damals auch schon.

  15. Die WhatsAPI Sourcen sind wieder online. Ausserdem scheinen die Entwickler von der „Drohung“ seitens WhatsApp Inc nicht sonderlich beeindruckt. Die Sicherheitslücke bleibt weiterhin ausnutzbar. Hier gibts mehr Infos und eine Zusammenfassung des bisherig geschehenen:
    http://www.wnstnsmth.net/blog/2012/09/whats-up-with-whatsapp-a-summary-of-the-recent-security-flaws-for-the-ignorant-user

  16. Hallo,also möchte mal sagen,habe das ebend spassenshalber versucht ,über mein eigenes whats app…und es funktioniert gar nicht.es erscheint nur ;this number is not registered with the given device identifier.
    handynummer ist von mir richtig eingegegben wurden und imei auch,,,,
    also kann mich keiner hacken!?!…

  17. Wo soll man bitte die Nummer und den IMEI-Code eingeben?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.