WhatsApp wurde gehackt: neue Informationen
Gerade eben berichteten wir über den Hack, der die Webseite des beliebten Messengers WhatsApp lahmlegte und politische Nachrichten verbreitete. Wir haben ein wenig recherchiert und sind mit Hilfe von Daniel auf weitere Informationen gestoßen. So ist nicht direkt der WhatsApp-Server betroffen, sondern die DNS-Server, die man nutzt. DNS funktioniert ein wenig, (vereinfacht gesagt!) wie die gute alte Auskunft.
[werbung]
Server im Internet sind mit einer IP-Adresse erreichbar und der DNS-Server sagt halt, wo es lang geht. Ruft ihr WhatsApp.com auf, so gelangt die Anfragte zu einem DNS-Server, der wiederum den von euch eingegebenen Namen umwandelt und euch zur entsprechenden IP leitet. Infiltriere ich nun diesen Mittelsmann, dann kann ich Anfragen auf andere Server weisen lassen, was im Falle von WhatsApp anscheinend gelungen ist.
Hier einmal die DNS-Informationen zu WhatsApp:
hacked:
host www.whatsapp.com
www.whatsapp.com is an alias for whatsapp.com.
whatsapp.com has address 174.123.168.2
whatsapp.com mail is handled by 10 aspmx3.googlemail.com.
whatsapp.com mail is handled by 1 ASPMX.L.GOOGLE.com.
whatsapp.com mail is handled by 5 alt1.ASPMX.L.GOOGLE.com.
whatsapp.com mail is handled by 5 alt2.ASPMX.L.GOOGLE.com.
whatsapp.com mail is handled by 10 aspmx2.googlemail.com.
host www.whatsapp.com
www.whatsapp.com has address 208.43.122.131
www.whatsapp.com has address 208.43.122.132
www.whatsapp.com has address 50.97.57.148
www.whatsapp.com has address 208.43.115.202
So sind – nach jetzigem Kenntnisstand nicht zwingend die Server des Betreibers gehackt worden, sondern lediglich die DNS-Server, die sich für das Routing der Seite verantwortlich zeigen, manipuliert worden. Betroffen ist derzeit bei vielen auch der Antivirushersteller AVG – siehe Screenshot.
Avira wird auch umgeleitet.
Verwendet die WhatsApp App zur Nachrichtenübermittlung den Domain Namen oder die IP Adressen? Wenn die App nur die IP Adressen verwendet, besteht keine Gefahr.
Ich hoffe doch nur die IP-Adressen
man schaue sich mal die demographische entwicklung dort an und nun soll mir einer sagen, dass er nicht auch sagen wir mal vorsichtig stinkig werden würde wenn das gleiche mit deutschland passieren würde…es herrscht hier doch so viel angst vor der “islamisierung”, dass der peter von nebenan die palestinenser doch irgendwie verstehen können müsste… http://www.palaestina-portal.eu/BILDER/index.14.JPG
p.s. dieses bild sieht man auch auf den gehackten seiten..leider ist der ausschnitt oben nicht komplett und zeigt nur die „wilde“ seite der medaille…
Nicht nur AVG, auch Avira
Tobi 8. Oktober 2013 um 11:25 Uhr
@Stephan genau wie unsere Rente 😀
HAHA der war echt gut :O)
@cashy…hast du schonmal so viel werbung durch andere medien erhalten, wie bei dieser nachricht? 🙂
krass wie viele medien sich gerade auf deinen blog berufen..glückwunsch!
ist es nicht irgendwie komisch oder sagen wir beängstigend, dass whatsapp schneller wieder erreichbar ist als avira? ich meine avira sollte sich doch auf dem gebiet „hack und virus“ auskennen oder irre ich mich?
Aber Hauptsache mal einen Linkbait-Titel gepostet. Und auch noch zweimal. SEO FTW!
Domain Name: AVIRA.COM
Registrar: NETWORK SOLUTIONS, LLC.
Whois Server: whois.networksolutions.com
Referral URL: http://www.networksolutions.com/en_US/
Name Server: N1.EZMAIL.COM.BR
Name Server: N2.EZMAIL.COM.BR
Name Server: NS1.RADIOUM.COM.BR
Name Server: NS2.RADIOUM.COM.BR
Status: clientTransferProhibited
Updated Date: 08-oct-2013
Creation Date: 05-mar-2001
Expiration Date: 05-mar-2023
Ich schätze mal, dass die deutsche Firma Avira keine brasilianischen DNS-Server verwenden wird.. sieht so aus, als hätte jemand für die Domain fremde DNS-Server hinterlegt, welche Anfragen mit der IP eines Servers des Angreifers beantworten. Die letzte Aktualisierung wurde ja heute durchgeführt.
Auch whatsapp.com wird von networksolutions.com verwaltet und auch hier wurde die letzte Aktualisierung heute vorgenommen.
Auf dem Twitter-Feed der Angreifer (https://twitter.com/KdmsTeam/status/387506150108700672) wurden drei weitere Ziele genannt. Zwei davon liegen bei Network Solutions, die dritte wurde gestern aktualisiert. Eventuell wurde der Registrar nach dem Angriff gewechselt?
Finde nur ich es komisch, dass diese „Palestine“-Hacker auf Twitter deutsche Quellen zitieren? Das sind bestimmt so Scriptkiddies, die sich jetzt total toll finden. Weil ich ja jetzt auch politisch gebildet wurde, durch diese Downtime. Ich belächel diese Art von „Kriegsführung“ immer ein wenig 🙂
avira.com hat es wohl auch erwischt.
Schade, dass du es für nötig hälst Titel auf Bildniveau zu gebrauchen.
AVG ist auch betroffen …
Was wirklich schön an dem hack ist das er zeigt das die Internet Infrastruktur nicht wirklich sicher abgewickelt wird. Weil Verschlüsselung der dns abfragen mehrkosten verursachen und die keiner tragen will… So kann man dann ganz einfach mit nem dns hack Millionen leuten ein offizielles update unterjubeln und man merkt s nicht einmal.
Es gibt ja inoffizielle Clients für WhatsApp, also ist die Technik für den Nachrichtenversand wohl gut bekannt….wer garantiert also, dass die Hacker nicht auch die Clients über ihre eigenen Server umgeleitet haben, auf denen eine Emulation der WhatsApp-Infrastruktur läuft? Okay, die haben wohl keine Nachrichten von den WhatsApp-Servern geklaut…sie haben die Daten direkt empfangen. So ist das ja überhaupt kein Problem, super WhatsApp-Team!
Avira.com ist auch betroffen 😉
So viele Rechtschreibfehler. Hacken scheint einfacher zu sein als Lesen uns Schreiben zu lernen.
Mit SSL Verschlüsselung und der Prüfung auf ein gültiges Zertifikat am Server in der App würde ein DNS Hack sofort auffallen.
@Georg
…da leitet keiner was um. Klar würde das gehen, nur wer hat schon die Rechenleistung und vor allem mehrere Breitbandanschlüsse um das auszuhalten ? Abgesehen davon wären die IP Adressen innerhalb kürzester Zeit bekannt und dann wäre Ende mit dem Schwachsinn…