WhatsApp unsicher? Ja, immer noch
WhatsApp kommt nicht aus den negativen Schlagzeilen heraus. Berichte über Sicherheitslücken kommen im Monatstakt heraus und wenn man denkt, dass die Jungs die Kurve bekommen, gibt es die nächste Klatsche. Was jetzt wieder (oder immer noch) akut ist? Es lassen sich weiterhin Accounts kapern, sofern IMEI und Telefonnummer des Opfers bekannt ist. Beides Daten, die nicht soooo schwer herauszubekommen sind.
Hier greift die Lücke, über die ich schon im September berichtet habe. WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf eine nicht so gute Form der Authentifikation.
WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters. Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren. Ende September berichtete ich dann noch einmal über ein Script, welches diese Lücke ausnutzte und die WhatsApp-Nutzung zusätzlich per Web möglich machte.
Ein neues Script, welches den Jungs bei Heise vorliegt, scheint nun wieder die gleiche Lücke auszunutzen. Es war wieder möglich, einen Account-Klau bei WhatsApp durchzuführen. Erschreckend war die Reaktion der Betreiber. Auf Presseanfragen reagieren die eh nie und auch nach der Kontaktaufnahme durch Heise blieb es ruhig. Einige Tage später meldete sich dann doch jemand, erkundigte sich, welche Version der App betroffen ist. Seitdem wieder Funkstille, obwohl genauere Informationen über das verwendete Script angeboten wurde.
Manche lernen es wohl nie. Und das sind sicherlich die WhatsApp-Macher. Aber auch viele Nutzer, die trotz des besseren Wissens Aussagen wie „Meine Gespräche sind nicht so wichtig und enthalten keine brisanten Informationen“ treffen.
Leute, es mag sich bescheuert anhören: ich behaupte jetzt einfach mal, dass ein Großteil eurer wichtigen Kontakte auch bei Facebook ist. Nutzt den verdammten Facebook-Messenger! Der arbeitet auch mit eurer behämmerten Datenverbindung. Sofern iOS und Android vorhanden sind, pusht der Kram auch direkt.
Nachtrag: und noch besser ist es, wenn ihr alle Kontakte löscht, die an Kettenbriefe und so einen Quatsch glauben, aktuell geht dieser Kram rum:
Nachricht von Jim Balsamico (CEO der Whatsapp) Wir haben zu viele Nutzer auf Whatsapp. Wir bitten alle Nutzer, diese Botschaft an die gesamte Kontaktliste weiterzuleiten. Wenn Sie nicht weitergeleitet wird, nehmen wir Ihr Konto als ungültig und es wird innerhalb der nächsten 48 Stunden gelöscht. Bitte diese Meldung NICHT ignorieren, sonst wird Whatsapp die Aktivierung ihres Kontos nicht mehr erkennen. Wenn Sie ihr Konto wieder aktivieren wollen nachdem es gelöscht wurde, wird eine Gebühr von 25,00 auf Ihre monatliche Rechnung hinzugefügt.
Man kann auch Xabber (http://www.xabber.com/) mit Accounts von Facebook, GMX, Web.de und GMail benutzen.
Whatsapp benötigt ja keine Anmeldung (deshalb ja auch so weit verbreitet), der Nutzer kann also nur mit Telefonnummer und IMEI identifiziert. Irgendwie logisch, dass man dann mit Kenntnis der Telefonnummer und der IMEI den Account übernehmen kann. Wie sollte es denn anders sein?
Ansonsten bin ich bei chrjs: IMEI sollte man sowieso niemandem geben und wenn man Apps installiert hat, die die IMEI auslesen und Whatsapp kapern wollen, dann hat man noch ganz andere Probleme als Whatsapp.
Frage: Wie soll Whatsapp erreichen, dass man durch Kenntnis von Telefonnummer und IMEI den Account _nicht_ übernehmen kann, wenn Telefonnummer und IMEI das einzige ist, mit dem Whatsapp den Nutzer identifiziert?
Mal wegen der IMEI, war es nicht so das WhatsApp beim nur bei Android die IMEI nutzt und bei iOS sogar die MAC-Adresse… Weil diese ist in jedem Router mit dem das iPhone mal verbunden war auszulesen 🙂
Wo ist das Problem mit Viber? Nummer bezogener Account, Chat und Anrufe ūber Datenverbindung. Und kostet nix.
Zu genau dem gleichen Fazit kam ich auch Cashy (http://blog.franky.ws/die-sicherheit-von-whatsapp-ist-fuern-arsch-heute-hacken-wir-whatsapp-ueber-die-whatsapp-api/), nur schon vor einem Monat. Facebook, benutzt doch Facebook. Trotzdem kann ich mir nicht vorstellen das da wirklich wichtige Gespräche drüber geführt werden. Ein Leak im POP3- oder IMAP-Protokoll o.Ä. wäre viel gefährtlicher..
@Hansbert: individuelles Passwort und verschlüsselte Speicherung der Daten wäre ein Anfang
Danke, Kay!
Für Google Talk usw. benötige ich doch keinen extra Account? Bzw. hat man doch meist bereits einen Jabber-/XMPP-Account? Durch Gmail, Yahoo, Web.de usw.
Jedoch ist das wohl extrem vielen nicht bewusst und sie gehen davon aus, dass sie einen neuen benötigen.
Auch Facebook setzt ja auf XMPP, verschließt sich aber leider der Allgemeinheit, indem nur Nachrichten unter Facebooknutzern ausgetauscht werden können. Dabei könnten sie doch durch „Offenheit“ an noch viel mehr Nachrichten von Nicht-Facebook-Nutzern kommen 😛
Ganz ehrlich?
Ich bin froh, meine Kontakte mit einer (!) App erreichen zu können. Wenn ich WhatsApp nun über Board werfe, dann muss ich auf mehrere andere Apps zurückgreifen, um alle wieder erreichen zu können. Und Facebook ist für mich keine Alternative. Zumal nicht alle darüber erreichbar wären.
Lach mich ruhig aus, Carsten, aber mein Standpunkt ist genau das, was Du oben so trefflich wiedergibst. Ich nutze WhatsApp eher für belanglose Dinge. Wichtige Themen versende ich immer noch als eMail.
@Christian Franke: Klick oben mal WhatsApp an und schau, wie lange ich hier schon als Hass-Prediger unterwegs bin 😉
@Bätschman Ein Passwort für eine Handynummer + IMEI zu vergeben hatte ich vorhin auch im Sinn. Was natürlich hierbei problematisch ist, das Pw wäre an die Telefonnummer gebunden, was wiederum bedeutet, dass der einzige Weg dieses Password sich bei Verlust zusenden zu lassen, über die Handynummer, per SMS o.Ä möglich wäre. Ob das nun mehr Sicherheit bietet…wer weiß. Zusätzlich, wird natürlich jede Menge Backend Arbeit nötig sein, für ein unbekannten Mehrwert an „Sicherheit“.
@Hansbert:
Wie wäre es bei Erstinstallation (also bei bisher unbekannter IMEI-TelNR Kombi) Zufallswerte aus einem Entropiepool zu nehmen (mittels /dev/random) und dieses zu nutzen um asynchrone Verschlüsselung und Signieren von Nachrichten an/von den WhatsApp-Server zu nutzen.
Ich sehe nicht, was dagegen sprechen würde?
@Bätschman: Verschlüsselte Speicherung der Daten geht nur mit einem Schlüssel bzw. einem Passwort. Aber das schöne an Whatsapp ist ja, dass es einfach so funktioniert, ohne Anmeldung und Passwort. Aber hast schon Recht, mit Passwort wärs zumindest sicherer und solange die Nutzer sich weiterhin über die Nummer finden können sollte sich an der Verbreitung dadurch wenig ändern. Naja, ich hoff einfach drauf, dass Google GTalk vor allem in G+ besser integriert und dann unter Android agressiv wirbt, damit die Leute das endlich verwenden.
@Sven: Und der Schlüssel würde dann unabhängig von Telefonnummer und IMEI im Speicher des Geräts liegen? Hmmm… Wie wärs damit: Wie dein Vorschlag, nur die Zufallswerte dann als Salt fürs Hashen von Nummer und IMEI verwenden?
Der Vorteil von whatssapp ist einfach die riesen OS Unterstützung:
iOS, Android, Symbian und BaclBerry!
Ich verstehe nicht, warum z.B. Google das scheinbar nicht mitbekommt. G+ Messenger, gTalk, Google Voice,… zusammenlegen, eine(!) gute App für Android UND iOS ZEITGLEICH(!!) [am besten auch gleich Windows Phone] raus bringen und kräftig die Werbetrommel rühren. Ich denke, dass man so einige neue Nutzer beklommen könnten.
@Jens
Google hat kein Interesse daran und die Nutzer mittlerweile auch nicht mehr. Stichwort Meebo -> Nach Übernahme Multi Protokoll Messenger eingestellt.
Dann Gizmo5, hatte damals auch Drittprotokolle. Auch eingestellt. Die Anbieter wollen selbst das beste Netzwerk haben.
XMPP war ne Alternative, aber haben die ja nie hinbekommen die Nutzerdaten abzusichern (plain text user password / username).
Dem Endkunden ist es vollkommen egal wie viele wie oft mitlesen. Warum, nutzt sonst jemand freiwillig Google? Die Suchmaschine wird täglich schlechter …
@Jens: Und dafür wäre genau JETZT der richtige Zeitpunkt. Whatsapp verliert Vertrauen (bei den wenigen, die sowas mitkriegen, aber immerhin), verlangt so langsam Geld und G+ braucht sowieso dringend einen Messenger der so gut funktioniert wie bei facebook.
@Alex: „wichtige Dinge sende ich immernoch als E-Mail“
Verschlüsselt? Mit Zertifikat? Kann ich mir nicht vorstellen.
Wer an die E-Mail als sicheres Übertragungsmedium glaubt, dem gehört der Hintern versohlt.
Ich finde mysms ist im Moment die beste Alternative und bin gerade dabei das Programm in meinem Freundeskreis durchzusetzen…