Instant Messenger Yuilop ist doch keine Alternative zu Whatsapp

Vorsicht bei der Verwendung des Instant Messengers Yuilop: Der Dienst verschickt Nachrichten unverschlüsselt im Klartext. Uns hatten die Entwickler etwas anderes gesagt.

Anzeige

"Yuilop verschlüsselt grundsätzlich alle Textnachrichten": Mit dieser Erklärung hat uns Yuilops Marketingmanager Jacques Frisch bei unserer Recherche nach Alternativen zu dem als unsicher geltenden Messenger Whatsapp überzeugt. Leider war sie unwahr.

Kurz nach der Veröffentlichung unseres Artikels über Instant Messenger schrieb uns Sicherheitsforscher Thomas Roth in einer E-Mail: "Eine Analyse des Netzwerkverkehrs von mir zeigte eindeutig, dass die Textnachrichten [bei Yuilop] in unverschlüsseltem XMPP versendet werden." Das bedeutet, Nachrichten der App für iOS und Android werden im Klartext übertragen und können zum Beispiel in einem offenen WLAN mitgelesen werden.

  • Das Sniffer-Tool Wireshark zeigt eine ausgehende Yuilop-Nachricht von Sicherheitsforscher Thomas Roth im Klartext. Die Nachricht wurde in einem offenen WLAN abgefangen. (Bild: Thomas Roth/Screenshot: Golem.de)
  • Auch bei unserem Test konnten wir mit Whiteshark eine ausgehende Yuilop-Nachricht im WLAN im Klartext einsehen. (Bild: Screenshot Golem.de)
Das Sniffer-Tool Wireshark zeigt eine ausgehende Yuilop-Nachricht von Sicherheitsforscher Thomas Roth im Klartext. Die Nachricht wurde in einem offenen WLAN abgefangen. (Bild: Thomas Roth/Screenshot: Golem.de)

Roth hatte sich bereits am 12. November per Twitter an die Entwickler des Dienstes gewandt. Er schrieb: "Congratulations to @yuilop for doing their SIP/XMPP stuff in cleartext. Glad we learned things from @whatsapp" - "Gratulation an Yuilop, das seine Nachrichten im Klartext überträgt." Er erhielt keine Antwort.

In einem weiteren Tweet an die Entwickler machte Roth deutlich, dass es sich um eine ernsthafte Sicherheitslücke handele. Er fragte, an wen er sich wegen der Sicherheitsbedenken wenden könne. Er wurde auf ein Supportformular hingewiesen, in dem er sein Anliegen schildern könne. Das machte er auch. Eine Antwort kam nicht.

Nachrichten im Klartext mit Wireshark

Mit den Recherchen Roths konfrontiert, teilte uns Marketingmanager Frisch heute Morgen nochmals mit, dass alle Nachrichten bei Yuilop verschlüsselt seien, nur die Anrufe nicht, wie wir auch in unserem Artikel erwähnten. Ein eigener Test mit Wireshark, einem Programm, das den Datenverkehr in WLANs aufzeichnen und auswerten kann, ergab aber etwas anderes: Eine von uns mit Yuilop versendete Nachricht konnte mit dem Sniffer im Klartext ausgelesen werden.

Wir haben uns daraufhin erneut mit Yuilop in Verbindung gesetzt. Eine Erklärung, wie es zu der Falschaussage kommen konnte, blieb bisher aus. Thomas Roth hat unterdessen weitere Sicherheitslücken gefunden: "Ich habe auch Probleme mit der Authentification festgestellt", schreibt er. "Es ist ziemlich kaputt."

Den Abschnitt Yuilop haben wir aus unserem Beitrag über Alternativen zu Whatsapp entfernt.

Nachtrag vom 16. November 2012, 13:15 Uhr

Mittlerweile hat sich Yuilop-Gründer und -CEO Jochen Doppelhammer schriftlich bei uns gemeldet. "Wir sind über das aufgedeckte Problem sehr betroffen, da wir sehr viel Wert auf die Extra-Sicherheit unseres Services gegenüber anderen ähnlichen Messaging Diensten legen", schreibt er in einer E-Mail. Sein Team habe die Situation falsch eingeschätzt. Außerdem sei eine Bugfix-Version von Yuilop bei Apple eingereicht worden, um den Sicherheitsstandard wieder herzustellen.


Okkarator 17. Nov 2012

Yuilop hat im eigenen Blog ein Dankesschreiben an Golem.de samt Erklärung abgegeben...

IrgendeinNutzer 16. Nov 2012

Soll er eingestellt haben, was auch zu erwarten war.

ryazor 16. Nov 2012

Wen interessiert das?

y.m.m.d. 16. Nov 2012

Naja prinzipell ist das nicht verwerflich. Aber wenn man aufgrund Sicherheitsbedenken...

tingelchen 16. Nov 2012

Es handelt sich hierbei natürlich um ein Softwarefehler. Entstanden durch die Debug...

Kommentieren



Anzeige

  1. Consultant (m/w) IT-Sicherheit
    T-Systems Multimedia Solutions GmbH, verschiedene Standorte
  2. Entwicklungsingenieur/in Hands Free Akustik
    Daimler AG, Sindelfingen
  3. IT-System-Operator/in
    Zweckverband Kommunale Informationsverarbeitung Baden-Franken, Karlsruhe
  4. Fachinformatiker (m/w) Systemintegration
    alstria office REIT-AG, Hamburg

 

Detailsuche


Folgen Sie uns
       


  1. Sofortlieferung

    Base liefert Smartphone noch am gleichen Tag

  2. Leica T

    Teure Systemkamera mit Touchscreen

  3. The Elder Scrolls Online

    Inhaltserweiterung und Goldfarmer

  4. Sensabubble

    Display aus duftenden Seifenblasen

  5. Lulzsec

    FBI soll von Anonymous-Hacks profitiert haben

  6. Opera Coast 3.0

    Der Gesten-Browser fürs iPhone ist da

  7. Linux 3.13

    Canonical übernimmt erneut Kernel-Langzeitpflege

  8. Klötzchen

    Dänemark in Minecraft nachgebaut

  9. Netcat

    Musikalbum als Linux-Kernel-Modul veröffentlicht

  10. Haswell Refresh

    Neue Xeon E3 mit bis zu 4,1 GHz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Conversnitch: Die twitternde Abhörlampe
Conversnitch
Die twitternde Abhörlampe

Conversnitch ist eine kleine Lampe, die unauffällig Gesprächsfetzen aus ihrer Umgebung mitschneidet, online eine Spracherkennung durchführt und den Text auf Twitter postet. Die Kunstaktion soll das Bewusstsein für die alltägliche Überwachung wecken.

  1. Menschenrechte Schärfere Exportkontrollen für Spähprogramme gefordert
  2. NSA-Skandal "Europa ist doch keine Kolonie"
  3. Frankreich Geheimdienst greift auf alle Daten von Orange zu

Microsoft: Remote-Desktop-App für Windows Phone
Microsoft
Remote-Desktop-App für Windows Phone

Microsoft hat eine Remote-Desktop-App für Windows Phone veröffentlicht. Damit kann aus der Ferne von einem Smartphone auf einen anderen Windows-Rechner zugegriffen werden, ohne dass auf diesem eine spezielle Software installiert sein muss.

  1. Cortana im Test Gebt Windows Phone eine Stimme
  2. Smartphones Nokia und HTC planen Updates auf Windows Phone 8.1
  3. Ativ SE Samsungs neues Smartphone mit Windows Phone

Palcohol: Der Cocktail in Pulverform
Palcohol
Der Cocktail in Pulverform

Mit kleinem Gepäck unterwegs und trotzdem nicht auf den abendlichen Drink verzichten? Ein US-Unternehmen hat Rum und Wodka in Pulver verwandelt. Zum Trinken einfach mit Wasser aufgießen - zum Schnupfen jedoch nicht geeignet.

  1. OLED Das merkwürdige Bindungsverhalten organischer Halbleiter
  2. Max-Planck-Institut Quantencomputer werden Silizium-Chips ähnlicher
  3. Kognitionswissenschaft Computer erkennt 21 Gesichtsausdrücke

    •  / 
    Zum Artikel