WhatsApp unsicher? Ja, immer noch
von caschy | 63 Kommentare
WhatsApp kommt nicht aus den negativen Schlagzeilen heraus. Berichte über Sicherheitslücken kommen im Monatstakt heraus und wenn man denkt, dass die Jungs die Kurve bekommen, gibt es die nächste Klatsche. Was jetzt wieder (oder immer noch) akut ist? Es lassen sich weiterhin Accounts kapern, sofern IMEI und Telefonnummer des Opfers bekannt ist. Beides Daten, die nicht soooo schwer herauszubekommen sind.
Hier greift die Lücke, über die ich schon im September berichtet habe. WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf eine nicht so gute Form der Authentifikation.
WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters. Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren. Ende September berichtete ich dann noch einmal über ein Script, welches diese Lücke ausnutzte und die WhatsApp-Nutzung zusätzlich per Web möglich machte.
Ein neues Script, welches den Jungs bei Heise vorliegt, scheint nun wieder die gleiche Lücke auszunutzen. Es war wieder möglich, einen Account-Klau bei WhatsApp durchzuführen. Erschreckend war die Reaktion der Betreiber. Auf Presseanfragen reagieren die eh nie und auch nach der Kontaktaufnahme durch Heise blieb es ruhig. Einige Tage später meldete sich dann doch jemand, erkundigte sich, welche Version der App betroffen ist. Seitdem wieder Funkstille, obwohl genauere Informationen über das verwendete Script angeboten wurde.
Manche lernen es wohl nie. Und das sind sicherlich die WhatsApp-Macher. Aber auch viele Nutzer, die trotz des besseren Wissens Aussagen wie „Meine Gespräche sind nicht so wichtig und enthalten keine brisanten Informationen“ treffen.
Leute, es mag sich bescheuert anhören: ich behaupte jetzt einfach mal, dass ein Großteil eurer wichtigen Kontakte auch bei Facebook ist. Nutzt den verdammten Facebook-Messenger! Der arbeitet auch mit eurer behämmerten Datenverbindung. Sofern iOS und Android vorhanden sind, pusht der Kram auch direkt.
Nachtrag: und noch besser ist es, wenn ihr alle Kontakte löscht, die an Kettenbriefe und so einen Quatsch glauben, aktuell geht dieser Kram rum:
Nachricht von Jim Balsamico (CEO der Whatsapp) Wir haben zu viele Nutzer auf Whatsapp. Wir bitten alle Nutzer, diese Botschaft an die gesamte Kontaktliste weiterzuleiten. Wenn Sie nicht weitergeleitet wird, nehmen wir Ihr Konto als ungültig und es wird innerhalb der nächsten 48 Stunden gelöscht. Bitte diese Meldung NICHT ignorieren, sonst wird Whatsapp die Aktivierung ihres Kontos nicht mehr erkennen. Wenn Sie ihr Konto wieder aktivieren wollen nachdem es gelöscht wurde, wird eine Gebühr von 25,00 auf Ihre monatliche Rechnung hinzugefügt.
Wird geladen ...
@chris … imei kannste mit nem alten handy auslesen ^^ Siemens oder nokia eignen sich recht gut, weil man die seriell ansprechen kann per At&T (macht es script kiddie tauglich) Dann noch nen Webserver mit dem php script (xampp lokal ^^) und los gehts… natürlich nicht ganz so simpel wie beschrieben, aber man sollte das schon hinbekommen ^^
hab das ganze mal auf nem Life Act mitbekommen und mir erklären lassen ^^ weiter wie bis nen handy zum sniffen ins gsm netz einbuchen hab ich aber nicht gemacht … Interesse verloren und das Handy wurde dann im Monitoring System als SMS Versender verwendet ^^
Aber nimm doch einfach iphone User ^^ Da brauchste nur die Telefonnummer und die Mac- Adresse und die bekommt man nun wirklich sehr leicht…
Die suche nach einer alternative hat sich doch bald erledigt.. sie heißt JOYN !!!!
Auch dort benötigt man keinen account und es bietet alle funktionen die auch whatsapp bietet und ist ebenso kostenlos für smartphone user. Wenn ich es richtig verstanden habe, erreicht man sogar „normale“ Handy besitzer, diese müssen dann aber fürs antworten bezahlen (wie SMS) sofern sie keine SMS flatrate haben.
Bis dahin nutze ich sehr gerne whatsapp, da 95% meiner Telefonkontakte auch whatsapp installiert haben… da kommt kein fb Messenger, iMessage oder einer diesen whatsapp-alternativen mit.
Passend zu der News, kam bei mir heute morgen direkt eine neue Spam Meldung von einem unbekannten Kontakt, der sich als CEO von Whatsapp betitelte und mir versucht hat mitzuteilen, dass Whatsapp heute für mich um 17 Uhr abgestellt wird, weil ich ein Nutzer wäre, der Whatsapp zu wenig nutzt und es einfach so viele User gibt, sodass nun alle Wenig-Nutzer gelöscht werden. Nur wenn man die Nachricht weiterschickt, kann man seinen „Kick“ verzögern.
Ah ha… wer glaubt sowas? Bin gespannt wie viele „Kopien“ ich jetzt von weiteren Kontakten erhalte.
Hatte das noch jemand? Hab die Nachricht leider schon gelöscht, sonst hätte ich das mal 1 zu 1 hier gepostet.
@Frank B: dito
@HO: Nur blöd, dass es erstmal quasi gar nicht funktionieren wird. Vodafone bringt Joyn mit Einschränkungen. o2 auch. T-Mobile lässt es sich bei einigen Verträgen bezahlen und E-Plus bietet es gar nicht an.
Klingt nach ner sauberen Lösung.
Not.
@Caschy @B!zzY Die meisten User glauben es, weil anscheinend WhatsApp ein Problem mit den Status-Meldungen hat. Dort steht zurzeit bei allen Kontakten: Error: status unavailable. Whatsapp halt! 🙂 Aber mysms ist auch keine wirkliche Alternative. Solange ich nicht explizit ausschließen kann welche SMS synchronisiert wird und welche nicht, ist der Dienst nicht interessant. Auch die nicht vorhandene Einbindung der Smilies ist ein No-Go
Ich hoffe die bringen irgendwann Hike endlich raus. Die ist schon seit dem 14.11 in der Überprüfung.Manchmal verstehe ich Apple gar nicht!!!
Facebook ist absolut ungeeignet, die App hängt sich manchmal auf und auf meinem Note funktioniert der push nicht.
Ich habe nichts davon, wenn ich eine Nachricht nach 15min erhalte.
Whatsapp ist deutlich einfacher zu bedienen und startet schneller.
@Hansbert:
Hmm, warum sollten die public und privat keys nicht einfach so auf dem Handy gespeichert werden. Solange das Handy nicht gerooted wird oder sich Lücken ausnutzen lassen, soltlen diese sicher sein. Die Keys lässt man schließlich auch auf dme eigenen PC einfach so liegen, ok, nochmal durch ein Passwort gesichert, für den Fall das es geklaut wird. Passwort verschlüsselte Kyes würden aber wieder den Komfort der App stören, da diese dann ja wieder vom Nutzer eingegeben werden müssten oder aber generisch wären (z.B IMEI) di eman wieder als Attacker leicht selber generieren könnte.
Nein, ich meine einfach klassische Asynchrone Verschlüsselung und Signieren von Nachrichten. Die Schlüssel wären zwar wenn sie abhanden kämen kompromitiert. Aber für WhatsApp wäre auch so schon der Sicherheitsgewinn ein Quantenspring und das Stehlen der Schlüssel dürfte sich unter Androud auch schwerer gestalten als unter dem üblichen Home Windows PC.
Einfach den guten alten ICQ wieder ausgegraben und ich muss sagen, die liste füllt sich langsam wieder. Der Messenger scheint steinalt zu sein, aber beständig.
Hat denn KakaoTalk das gleiche Problem mit der Sicherheit? Weil KakaoTalk ist wirklich 1:1 wie whatsapp und sogar noch besser…
@caschy
Hattest du nicht letztens hier noch einen Artikel darüber geschrieben dass WhatsApp jetzt kostenpflichtig ist? Mit sonem schnippischen Satz wie (sinngemäß) „Wer nicht bereit ist die 80 cent für so nen super Service zu zahlen gehört wohl zur Generation kostenlos und Raubmordkopierer“?
Oder war das wieder der gute Casi?
http://stadt-bremerhaven.de/whatsapp-kostenpflichtig-die-ersten-zahlungsaufforderungen-schlagen-ein/comment-page-3/#comments
Den hier meine ich. Und den Satz fand ich daran besonders toll:
„Lange Rede, kurzer Sinn: wer fleißig nutzt aber diskutiert, dass der Dienst kostenpflichtig wird und nicht gewillt ist, die knapp 80 Cent im Jahr zu zahlen, der hat einen an der Waffel. Ich denke nicht, dass es generell die WhatsApp-Sparfüchse sind, die so denken. Eher die Generation Kostenlos, die nicht gewillt ist, für gute Dienste Geld auszugeben. “
War übrigens Casi. Vielleicht solltet Ihr mal Rücksprache darüber halten was Ihr so schreibt. Wirkt auf mich nicht so toll wenn der eine Artikel sagt: „Der Service is perfekt und wenn ihr nicht dafür bezahlt seid ihr bescheuert“. Und der nächste sagt: „Die App ist total für Arsch und rate jedem sie auf keinen Fall zu benutzen“.
Mir sind die Lücken Wurst, da offline auch Nachrichten (Postkarte..) auch mit gelesen werden können. Eine SMS oder email kann auch leicht belauscht/gefälscht werden!
@nico
Dein Konto kann auch leicht leergeräumt werden. Also gib mir einfach dein ganzes Geld.
OK, das stimmt schon, du hast recht! 🙂
sms wenns wichtig ist
und das noch verschlüsseln mit pgp sms.
was soll man sonst machen…
https://play.google.com/store/apps/details?id=com.woodkick.pgpsms
für die wichtigen sachen: pgp sms für android, einfach mal googlen