Instant Messenger: Yuilop ist doch keine Alternative zu Whatsapp
Die Website von Yuilop (Bild: Screenshot Golem.de)

Instant Messenger Yuilop ist doch keine Alternative zu Whatsapp

Vorsicht bei der Verwendung des Instant Messengers Yuilop: Der Dienst verschickt Nachrichten unverschlüsselt im Klartext. Uns hatten die Entwickler etwas anderes gesagt.

Anzeige

"Yuilop verschlüsselt grundsätzlich alle Textnachrichten": Mit dieser Erklärung hat uns Yuilops Marketingmanager Jacques Frisch bei unserer Recherche nach Alternativen zu dem als unsicher geltenden Messenger Whatsapp überzeugt. Leider war sie unwahr.

Kurz nach der Veröffentlichung unseres Artikels über Instant Messenger schrieb uns Sicherheitsforscher Thomas Roth in einer E-Mail: "Eine Analyse des Netzwerkverkehrs von mir zeigte eindeutig, dass die Textnachrichten [bei Yuilop] in unverschlüsseltem XMPP versendet werden." Das bedeutet, Nachrichten der App für iOS und Android werden im Klartext übertragen und können zum Beispiel in einem offenen WLAN mitgelesen werden.

  • Das Sniffer-Tool Wireshark zeigt eine ausgehende Yuilop-Nachricht von Sicherheitsforscher Thomas Roth im Klartext. Die Nachricht wurde in einem offenen WLAN abgefangen. (Bild: Thomas Roth/Screenshot: Golem.de)
  • Auch bei unserem Test konnten wir mit Whiteshark eine ausgehende Yuilop-Nachricht im WLAN im Klartext einsehen. (Bild: Screenshot Golem.de)
Das Sniffer-Tool Wireshark zeigt eine ausgehende Yuilop-Nachricht von Sicherheitsforscher Thomas Roth im Klartext. Die Nachricht wurde in einem offenen WLAN abgefangen. (Bild: Thomas Roth/Screenshot: Golem.de)

Roth hatte sich bereits am 12. November per Twitter an die Entwickler des Dienstes gewandt. Er schrieb: "Congratulations to @yuilop for doing their SIP/XMPP stuff in cleartext. Glad we learned things from @whatsapp" - "Gratulation an Yuilop, das seine Nachrichten im Klartext überträgt." Er erhielt keine Antwort.

In einem weiteren Tweet an die Entwickler machte Roth deutlich, dass es sich um eine ernsthafte Sicherheitslücke handele. Er fragte, an wen er sich wegen der Sicherheitsbedenken wenden könne. Er wurde auf ein Supportformular hingewiesen, in dem er sein Anliegen schildern könne. Das machte er auch. Eine Antwort kam nicht.

Nachrichten im Klartext mit Wireshark

Mit den Recherchen Roths konfrontiert, teilte uns Marketingmanager Frisch heute Morgen nochmals mit, dass alle Nachrichten bei Yuilop verschlüsselt seien, nur die Anrufe nicht, wie wir auch in unserem Artikel erwähnten. Ein eigener Test mit Wireshark, einem Programm, das den Datenverkehr in WLANs aufzeichnen und auswerten kann, ergab aber etwas anderes: Eine von uns mit Yuilop versendete Nachricht konnte mit dem Sniffer im Klartext ausgelesen werden.

Wir haben uns daraufhin erneut mit Yuilop in Verbindung gesetzt. Eine Erklärung, wie es zu der Falschaussage kommen konnte, blieb bisher aus. Thomas Roth hat unterdessen weitere Sicherheitslücken gefunden: "Ich habe auch Probleme mit der Authentification festgestellt", schreibt er. "Es ist ziemlich kaputt."

Den Abschnitt Yuilop haben wir aus unserem Beitrag über Alternativen zu Whatsapp entfernt.

Nachtrag vom 16. November 2012, 13:15 Uhr

Mittlerweile hat sich Yuilop-Gründer und -CEO Jochen Doppelhammer schriftlich bei uns gemeldet. "Wir sind über das aufgedeckte Problem sehr betroffen, da wir sehr viel Wert auf die Extra-Sicherheit unseres Services gegenüber anderen ähnlichen Messaging Diensten legen", schreibt er in einer E-Mail. Sein Team habe die Situation falsch eingeschätzt. Außerdem sei eine Bugfix-Version von Yuilop bei Apple eingereicht worden, um den Sicherheitsstandard wieder herzustellen.


Okkarator 17. Nov 2012

Yuilop hat im eigenen Blog ein Dankesschreiben an Golem.de samt Erklärung abgegeben...

IrgendeinNutzer 16. Nov 2012

Soll er eingestellt haben, was auch zu erwarten war.

ryazor 16. Nov 2012

Wen interessiert das?

y.m.m.d. 16. Nov 2012

Naja prinzipell ist das nicht verwerflich. Aber wenn man aufgrund Sicherheitsbedenken...

tingelchen 16. Nov 2012

Es handelt sich hierbei natürlich um ein Softwarefehler. Entstanden durch die Debug...

Kommentieren



Anzeige

  1. Entwicklungsleiter Digital (m/w)
    MDHL GmbH & Co. KG, Dortmund
  2. Projektmanager ERP Solutions (m/w)
    über CONusio GmbH, Aschaffenburg
  3. Spezialist Informationsmanagement (m/w)
    BIOTRONIK SE & Co. KG, Berlin
  4. Junior Testmanager eCommerce (m/w)
    exali GmbH, Augsburg

 

Detailsuche


Folgen Sie uns
       


  1. EU-Datenschutzreform

    Einigung auf Öffnungsklauseln für die Verwaltung

  2. Abzocke

    Unbekannte kopieren deutsche Blogs

  3. Digitale Agenda

    Ein Papier, das alle enttäuscht

  4. WRT-Node

    Bastelplatine mit OpenWRT und WLAN

  5. Spiegelreflexkamera

    Schwarzer Punkt gegen helle Punkte der Nikon D810

  6. Cliffhanger Productions

    Shadowrun Online und die Nano-Drachen

  7. Star Citizen

    52 Millionen US-Dollar für ein Jetpack

  8. Virtualisierung

    Parallels Desktop 10 macht Tempo

  9. Zertifikate

    Google will vor SHA-1 warnen

  10. Mitfahrdienst auf neuen Wegen

    Uber will eigenen Lieferservice aufbauen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Rogue angespielt: Das etwas bösere Assassin's Creed
Rogue angespielt
Das etwas bösere Assassin's Creed
  1. Ubisoft Abkehr von Xbox 360 und PS3 ab 2015
  2. Assassin's Creed Rogue Als Templer nach New York
  3. Assassin's Creed Unity Gameplay und Geschichte

IT und Energiewende: Intelligenztest für Stromnetze und Politik
IT und Energiewende
Intelligenztest für Stromnetze und Politik

DCMM 2014: Wenn PC-Gehäuse zu Kunstwerken werden
DCMM 2014
Wenn PC-Gehäuse zu Kunstwerken werden
  1. Elite Dangerous mit Oculus Rift "Wir brauchen mindestens 4K"
  2. Spielemesse Gamescom fast ausverkauft
  3. Spielebranche Gamescom soll bis 2019 in Köln bleiben

    •  / 
    Zum Artikel