WhatsApp unter Umständen angreifbar

Es wird einfach nicht stiller um WhatsApp. Das Kommunikationstool hatte mit Ausfällen in Deutschland zu kämpfen. Ein Update der Telekom sorgte dafür, dass der Client sich nicht mehr verbinden konnte. Ein Schelm, wer Böses dabei denkt: hat die Telekom doch auch den „SMS-Nachfolger“ Joyn gestartet. WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf  eine nicht so gute Form der Authentifikation. WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters.

Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren. Sam Granger beschreibt in seinem Blog, wie gering der Aufwand ist – und wie sich theoretisch die Lücke ausnutzen ließe. Mir selber ist da bislang kein Fall bekannt, wäre aber mal klasse, wenn die Jungs die Lücke fixen. WhatsApp ist aufgrund der Verbreitung für mich einfach ein tolles Tool, welches ich nicht missen möchte…(via)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

18 Kommentare

  1. …und ich kann wunderbar ohne diesen schrott leben, da immer noch zuviele lücken in dieser app vorhanden sind. bin ja mal bespannt, wie joyn läuft, dass läuft aufjedenfall im gsm standart.

  2. Der Cashy meint bestimmt missen müssen 🙂
    Ich finde whatsapp auch super.

  3. Es ist eben nicht GSM Standard das joyn. Das läuft über die Daten Netze. Und sms ist genauso unsicher. Nur so nebenbei. Wenn man keine brisanten Daten darüber sendet ist es echt klasse

  4. @cokkii: Joyn läuft auch nur über Datenverbindung 😉 Ist nur die Frage wie und wo da abgesichert wird.

  5. Mit pdroid (und entsprechend gepatchter Rom) dürfte das noch viel einfacher zu bewerkstelligen sein. Damit kann man für jede App festlegen, auf welche Daten sie zugreifen darf und wahlweise auch IMEI, Rufnummer, Netzwerkdaten faken…

  6. Hm, theoretisch müsste man über diese Lücke doch auch per xmpp Client whatsapp Gespräche führen können. Oder?

  7. Zum Thema “SMS-Nachfolger” Joyn sollte es doch auf der IFA Neues geben bzw. großartig damit losgehen. Gibt es da noch keine interessanten News zu dem Thema, hab da noch nirgends großartig was Neues zu gelesen.

  8. Ganz ehrlich: Ich finde es schade dass soetwas einen Riesen aufschrei verursacht sobald es auf i.einem random Blog gepostet wird wenn doch die Tatsache selber schon seit langer Zeit bekannt ist.

    Ich hab selber schon WhatsApp im Zuge von der Entwicklung von Wazapp (Das ist am Ende dabei herausgekommen) decompiliert und den kompletten Login-Mechanismus herausgefunden.
    Was ist daran besonders? Nur weil einer das ganze jetzt sich zusammengesucht hat und groß postet?!

    Link zu meinem Post vor einem halben Jahr: http://talk.maemo.org/showthread.php?p=1160118#post1160118
    Direkt der erste Teil geht über Login-Name und Passwort. Ist etwas sehr umständlich geschrieben und nicht ganz korrekt aber wer will kann sich ja in den weiteren Posts und Threads umsehen. Da geht es weiter ins Detail bzw. Fehler werden korrigiert

    Und selbst damals war es schon so gut wie jedem bekannt der sich etwas mit WhatsApp auseinandergesetzt hat…

  9. @Markus Besser gleich XMPP richtig nutzen!!

    Go, Jabber, go! Einen passenden Account hat eh fast jeder ohne davon zu wissen (Googlemail, GMX, Web.de etc). Gtalk ist bei Android vorinstalliert, sonst eben IM+ oder Xabber installieren! Und fürn Desktop gibt’s Jitsi und co.

    Spread the word!

  10. @ Risar & Mario

    Joyn, entwickelt unter dem Namen Rich Communication Suite-enhanced (RCS-e), ist ein Industriestandard, mit dem die mobile Übertragung von Texten, Sprache, Bildern und Videos plattform- und providerunabhängig ermöglicht werden soll.

    Quelle: Wiki

  11. @ColaCheater

    Gebracht hat es auch nicht viel, für das N900 fehlt weiterhin eine nutzbare Alternative für das WhatsApp-Phänomen.

  12. Guten Abend,

    ich möchte jetzt mein Frust über die BLOG los werden! Wie kann es sein das er wiederholt kurzfristig nicht zu erreichen ist? Seit „Ihr“ zu doof euch ordentliche Server zu leisten, immerhin bist du ja „Selbständig“!
    Das Zweite wie toll jetzt hier nicht nur Werbung immer mehr und größer wird sonder auch die LOGOs bei Beiträgen! Für Blinde wäre mit Sicherheit ein Vollbild mit 2x größerem LOGO von vorteil!

  13. @cro

    Wie gesagt: Am Ende wurde Wazapp daraus da der Entwickler mehr interesse an dem N9 gezeigt hat als an dem N900.
    Da ich mittlerweile allerdings zu Android (HTC One S) gewechselt bin sind meine bemühungen in die Richtung auch nicht mehr vorhanden.

    Ich habe auf dem N900 meistens Google Talk genutzt am Ende für so Gespräche. Darüber schreibe ich jetzt unter Android immernoch den großteil, nur so Sachen wie Bilder schicken u.s.w. mache ich teilweise über WhatsApp da das schneller/einfacher geht. (Zugriff auf das Telefonbuch u.s.w. dabei über root und entsprechende Programme gesperrt)

    An sich finde ich WhatsApp nicht schlecht und 100% Sicherheit kann es nur sehr schwer geben aber es gibt so viele Punkte an denen die Macher von WhatsApp einfach geschlampt haben. Und selbst wo sie jetzt die Möglichkeit hätten bie der großen Verbreitung nachzubessern scheinen sie es nicht wirklich zu machen.
    Die Verschlüsselung die sie jetzt in die iOS Clients etc. eingebaut haben sind denke ich auch nicht so wirklich sicher und dienen mehr dazu eben Wazapp auszusperren, aber da kann ich nichts genaues zu sagen da ich mir das nicht genau angeschaut habe.

  14. @cokkii
    Das Leute wie du immer ihren Kindergarten Senf dazugeben müssen und irgendetwas als Schrott bezeichnen von dem sie überhaupt keine Ahnung haben. Wie wärs wenn du dich mal selber Hinsetzt und mal so eine App baust, aber dazu bist wohl nicht in der Lage, lästern geht ja viel einfacher.

  15. Whatsapp hat sich zum defacto Standard zur SMS entwickelt, und ist aufgrund seiner Verbreitung eigentlich alternativlos.

    Daher wäre es so langsam wirklich mal an der Zeit, dass der Anbieter das Thema Sicherheit mehr beachtet.

  16. @Harry

    Dat lass mal meine Sorge sein, was ich mache oder tun werde. Ich habe mich mal 4 Std mit dieser App beschäftigt und muss leider sagen, dass die sogenannte Ultrahypermussjederhabenunddubisthipapp der letzte Müll ist, fertig, aus, Micky Maus. Frage: Bist du an der Entwicklung an dieser App irgendwie dranbeteiligt?

  17. Ich benutze auch seit einiger Zeit Whatsapp und bin sehr zufrieden damit. Klar hat man bei so einer Sicherheitslücke immer ein ungutes Gefühl, aber verzichten möchte ich nur ungern darauf.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.