Abo
  • Services:
Anzeige
Die Website von Yuilop
Die Website von Yuilop (Bild: Screenshot Golem.de)

Instant Messenger: Yuilop ist doch keine Alternative zu Whatsapp

Die Website von Yuilop
Die Website von Yuilop (Bild: Screenshot Golem.de)

Vorsicht bei der Verwendung des Instant Messengers Yuilop: Der Dienst verschickt Nachrichten unverschlüsselt im Klartext. Uns hatten die Entwickler etwas anderes gesagt.

"Yuilop verschlüsselt grundsätzlich alle Textnachrichten": Mit dieser Erklärung hat uns Yuilops Marketingmanager Jacques Frisch bei unserer Recherche nach Alternativen zu dem als unsicher geltenden Messenger Whatsapp überzeugt. Leider war sie unwahr.

Anzeige

Kurz nach der Veröffentlichung unseres Artikels über Instant Messenger schrieb uns Sicherheitsforscher Thomas Roth in einer E-Mail: "Eine Analyse des Netzwerkverkehrs von mir zeigte eindeutig, dass die Textnachrichten [bei Yuilop] in unverschlüsseltem XMPP versendet werden." Das bedeutet, Nachrichten der App für iOS und Android werden im Klartext übertragen und können zum Beispiel in einem offenen WLAN mitgelesen werden.

  • Das Sniffer-Tool Wireshark zeigt eine ausgehende Yuilop-Nachricht von Sicherheitsforscher Thomas Roth im Klartext. Die Nachricht wurde in einem offenen WLAN abgefangen. (Bild: Thomas Roth/Screenshot: Golem.de)
  • Auch bei unserem Test konnten wir mit Whiteshark eine ausgehende Yuilop-Nachricht im WLAN im Klartext einsehen. (Bild: Screenshot Golem.de)
Das Sniffer-Tool Wireshark zeigt eine ausgehende Yuilop-Nachricht von Sicherheitsforscher Thomas Roth im Klartext. Die Nachricht wurde in einem offenen WLAN abgefangen. (Bild: Thomas Roth/Screenshot: Golem.de)

Roth hatte sich bereits am 12. November per Twitter an die Entwickler des Dienstes gewandt. Er schrieb: "Congratulations to @yuilop for doing their SIP/XMPP stuff in cleartext. Glad we learned things from @whatsapp" - "Gratulation an Yuilop, das seine Nachrichten im Klartext überträgt." Er erhielt keine Antwort.

In einem weiteren Tweet an die Entwickler machte Roth deutlich, dass es sich um eine ernsthafte Sicherheitslücke handele. Er fragte, an wen er sich wegen der Sicherheitsbedenken wenden könne. Er wurde auf ein Supportformular hingewiesen, in dem er sein Anliegen schildern könne. Das machte er auch. Eine Antwort kam nicht.

Nachrichten im Klartext mit Wireshark

Mit den Recherchen Roths konfrontiert, teilte uns Marketingmanager Frisch heute Morgen nochmals mit, dass alle Nachrichten bei Yuilop verschlüsselt seien, nur die Anrufe nicht, wie wir auch in unserem Artikel erwähnten. Ein eigener Test mit Wireshark, einem Programm, das den Datenverkehr in WLANs aufzeichnen und auswerten kann, ergab aber etwas anderes: Eine von uns mit Yuilop versendete Nachricht konnte mit dem Sniffer im Klartext ausgelesen werden.

Wir haben uns daraufhin erneut mit Yuilop in Verbindung gesetzt. Eine Erklärung, wie es zu der Falschaussage kommen konnte, blieb bisher aus. Thomas Roth hat unterdessen weitere Sicherheitslücken gefunden: "Ich habe auch Probleme mit der Authentification festgestellt", schreibt er. "Es ist ziemlich kaputt."

Den Abschnitt Yuilop haben wir aus unserem Beitrag über Alternativen zu Whatsapp entfernt.

Nachtrag vom 16. November 2012, 13:15 Uhr

Mittlerweile hat sich Yuilop-Gründer und -CEO Jochen Doppelhammer schriftlich bei uns gemeldet. "Wir sind über das aufgedeckte Problem sehr betroffen, da wir sehr viel Wert auf die Extra-Sicherheit unseres Services gegenüber anderen ähnlichen Messaging Diensten legen", schreibt er in einer E-Mail. Sein Team habe die Situation falsch eingeschätzt. Außerdem sei eine Bugfix-Version von Yuilop bei Apple eingereicht worden, um den Sicherheitsstandard wieder herzustellen.


eye home zur Startseite
Okkarator 17. Nov 2012

Yuilop hat im eigenen Blog ein Dankesschreiben an Golem.de samt Erklärung abgegeben...

IrgendeinNutzer 16. Nov 2012

Soll er eingestellt haben, was auch zu erwarten war.

ryazor 16. Nov 2012

Wen interessiert das?

y.m.m.d. 16. Nov 2012

Naja prinzipell ist das nicht verwerflich. Aber wenn man aufgrund Sicherheitsbedenken...

tingelchen 16. Nov 2012

Es handelt sich hierbei natürlich um ein Softwarefehler. Entstanden durch die Debug...



Anzeige

Stellenmarkt
  1. JOSEPH VÖGELE AG, Ludwigshafen
  2. RUAG Ammotec GmbH, Fürth (Region Nürnberg)
  3. Daimler AG, Stuttgart
  4. init AG, Karlsruhe


Anzeige
Hardware-Angebote
  1. (Core i5-6600 + Geforce GTX 1070)
  2. 99,90€ statt 204,80€

Folgen Sie uns
       


  1. AVM

    Hersteller für volle Routerfreiheit bei Glasfaser und Kabel

  2. Hearthstone

    Blizzard feiert eine Nacht in Karazhan

  3. Gmane

    Wichtiges Mailing-Listen-Archiv offline

  4. Olympia

    Kann der Hashtag #Rio2016 verboten werden?

  5. Containerverwaltung

    Docker für Mac und Windows ist einsatzbereit

  6. Drosselung

    Telekom schafft wegen intensiver Nutzung Spotify-Option ab

  7. Quantenkrytographie

    Chinas erster Schritt zur Quantenkommunikation per Satellit

  8. Sony

    Absatz der Playstation 4 weiter stark

  9. Gigafactory

    Teslas Gigantomanie in Weiß und Rot

  10. Cloud-Speicher

    Amazon bietet unbegrenzten Speicherplatz für 70 Euro im Jahr



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Hugo Barra verkündet Premium-Smartphone
  3. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro

Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte
  1. Killerspiel-Debatte ProSieben Maxx stoppt Übertragungen von Counter-Strike

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Keysniffer Millionen kabellose Tastaturen senden Daten im Klartext
  2. Tor Hidden Services Über 100 spionierende Tor-Nodes
  3. Pilotprojekt EU will Open Source sicherer machen

  1. Re: Microsoft OneCloud

    maverick1977 | 18:01

  2. Re: paydirect / masterpass

    Sandeeh | 18:00

  3. Re: Mit anderen Worten...

    Pjörn | 17:59

  4. Re: Mehr als "häh?" fällt mir da nicht ein.

    superdachs | 17:50

  5. Re: Verstehe nur Bahnhof

    Reddie | 17:50


  1. 17:23

  2. 17:04

  3. 16:18

  4. 14:28

  5. 13:00

  6. 12:28

  7. 12:19

  8. 12:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel