WhatsApp äußert sich zur Sicherheitslücke, die ein Auslesen von Chats ermöglicht

Gestern berichteten wir über die WhatsApp-Sicherheitslücke, die es manipulierten Apps erlaubt, die Chats aus dem automatischen Backup von WhatsApp auszulesen. WhatsApp äußert sich nun dazu, bestreitet die Lücke nicht, fühlt sich aber von der Berichterstattung gestört. So sagt WhatsApp, dass das Problem nicht WhatsApp-spezifisch ist, wie wir ja ebenfalls schon erwähnten. Unter normalen Umständen könne die Datenbank nicht abgegriffen werden, sondern es ist dazu die Installation von Malware erforderlich. Außerdem erklärt WhatsApp, dass sich Nutzer nur Apps aus sicheren Quellen herunterladen sollen und die neuesten Updates für WhatsApp installieren sollten. Die neueste Version des Messengers verschlüsselt die Datenbank und kann laut WhatsApp nicht ausgelesen werden.

whatsapp-logo

Bosschert, dessen Veröffentlichung gestern die Runde machte, teilt jedoch mit, dass auch in der aktuellsten Version das Auslesen noch funktioniert. Wem Ihr da nun glaubt, bleibt Euch überlassen. Während theoretisch die Möglichkeit eventuell gegeben ist, ist es halt ach eine Frage, wer Eure Konversationen abgreifen will. Ich bezweifle, dass über WhatsApp Daten ausgetauscht werden, die streng geheim sind. Falls doch, sollte man vielleicht einmal überlegen, ob man denn den richtigen Messenger gewählt hat.

Hier das Statement von WhatsApp, das TechCrunch erhalten hat:

We are aware of the reports regarding a “security flaw”. Unfortunately, these reports have not painted an accurate picture and are overstated. Under normal circumstances the data on a microSD card is not exposed. However, if a device owner downloads malware or a virus, their phone will be at risk. As always, we recommend WhatsApp users apply all software updates to ensure they have the latest security fixes and we strongly encourage users to only download trusted software from reputable companies. The current version of WhatsApp in Google Play was updated to further protect our users against malicious apps.

Dadurch, dass WhatsApp von Facebook übernommen wurde und weltweit verbreitet ist, rücken Probleme des Messengers sehr schnell in den Fokus der Medien. Viele hoffen auch, dass sich dadurch etwas bessert, da nun auch Facebook mit verantwortlich gemacht werden kann. Mal sehen, was als nächstes kommt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

11 Kommentare

  1. Wieso Malware? Da kann doch jede App drauf zugreifen?

  2. Das hohe WhatsApp App Ross wiehert…

  3. Was soll ich durch Facebook ändern?
    Es verschlimmert die Lage sogar, da die Datenkrake Facebook alle Adressen abziehen kann und diese zu Geld machen wird.
    Dazu wird Facebook jegliche Konversationen mit seiner Datenbank abgleichen und weitere Verknüpfungen zu einzelnen Mitgliedern erstellen damit zielgerichtet Werbung geschaltet werden kann.
    Das ist aber auch nur die Spitze vom Eisberg.
    Warum sonst zahlt jemand für einen Messenger so viel Geld?

    Aber viele Menschen sind scheinbar so abgestumpft das sie das alles nicht mehr interessiert.

  4. „Während theoretisch die Möglichkeit eventuell gegeben ist, ist es halt ach eine Frage, wer Eure Konversationen abgreifen will. Ich bezweifle, dass über WhatsApp Daten ausgetauscht werden, die streng geheim sind.“

    Was ist denn das für eine Argumentation? Whatsapp ist ein Nachrichtendienst für Direktnachrichten zu Einzelpersonen und Gruppen. Da sind zwangsläufig nicht unbedingt geheime, aber zumindest private Daten drin.

  5. @Patrick: Malware, weil seriöse Software eben nur auf die eigenen Daten zugreift bzw. nur dann auf die Daten anderer Programme zugreift, wenn das vom Nutzer auch entsprechend gewollt ist und genehmigt wird. Software die ihre Datenfreigabe dazu missbraucht auf Daten zuzugreifen und diese auszuspionieren ohne dass der Nutzer dies will und auch ohne dass der Nutzer davon erfährt ist als Malware oder auch Trojaner zu bezeichnen.

  6. An alle die meinen ueber WhatsApp wuerden keine „geheimen“ Dinge getauscht werden:
    http://www.spiegel.de/netzwelt/web/polizisten-plaudern-in-whatsapp-ermittlungsdetails-aus-a-953977.html

  7. Natürlich ist das Problem WhatsApp spezifisch. Man hätte den Schlüssel natürlich auch anständig zufällig erzeugen können und ihn in dem (teilweise sogar hardwareseitig) geschützten Schlüsselspeicher von Android hinterlegen können. Von da kann nämlich nur von der App, die den Schlüssel hinterlegt hat, wieder gelesen werden. Allerdings hätte man dazu auch mal ein wenig Wissen und Arbeit in die Sicherheit investieren müssen. Wer dazu mehr wissen will, kann ja mal nach „android credential storage“ suchen. Oder man hätte (wenn man auf den Speicher aufgrund der nicht vorhanden Verfügbarkeit in älteren android Versionen verzichten will) für die Nachrichten-Backups auch einfach den Benutzer nach einem Passwort (=Schlüssel) fragen können. Ich frage mich ohnehin, welches Breihirn auf die Idee kam, einen fest einprogrammierten Schlüssel zu verwenden.

  8. Naja, die Backups sind ja auch dafür da um zb auf ein neues Gerät umzuziehen. Das heißt den Schlüsselspeicher kann man schonmal nicht nutzen. Die einzige Möglichkeit ist den Nutzer nach einen Passwort zu fragen…

  9. I bin nicht der Meinung, dass es hier sich wirklich um eine Sicherheitslücke handelt. Bis Android 4.3 Version haben alle apps auf alle Ordner Verzeichnisse lese und schreibrechte auf der SD-Card. Wenn whatsapp in der cloud den Verlauf speichern würde gäbe es ebenfalls einen Aufschrei. Oder wenn nur in /data/ geschrieben würde würden sich alle beschweren, dass mit einer Neuinstallation der Verlauf weg wäre.
    Nun hat Google die screibrechte auf von der app selbst erstellte Verzeichnisse begrenzt um manipulation von anderen apps einzudämmen und schaut euch den Aufschrei an. Man kann den Kuchen essen oder behalten beides geht halt eben nicht.

  10. Sascha, Du wirst hier ja viel zu Unrecht kritisiert… Aber Dein Kommentar zum ‚warum sollte jemand meine unerheblichen Daten denn ausspähen wollen?‘ zeigt, dass Du die gesamte Dimension der Notwendigkeit und dem Recht auf Privatsphäre nicht verstanden hast. Setzen, sechs.

  11. Hello this is kinda of off topic but I was wanting to know if blogs use
    WYSIWYG editors or if you have to manually code with HTML.

    I’m starting a blog soon but have no coding knowledge
    so I wanted to get guidance from someone with experience.
    Any help would be enormously appreciated!