Die Website von Yuilop
Die Website von Yuilop (Bild: Screenshot Golem.de)

Instant Messenger Yuilop ist doch keine Alternative zu Whatsapp

Vorsicht bei der Verwendung des Instant Messengers Yuilop: Der Dienst verschickt Nachrichten unverschlüsselt im Klartext. Uns hatten die Entwickler etwas anderes gesagt.

Anzeige

"Yuilop verschlüsselt grundsätzlich alle Textnachrichten": Mit dieser Erklärung hat uns Yuilops Marketingmanager Jacques Frisch bei unserer Recherche nach Alternativen zu dem als unsicher geltenden Messenger Whatsapp überzeugt. Leider war sie unwahr.

Kurz nach der Veröffentlichung unseres Artikels über Instant Messenger schrieb uns Sicherheitsforscher Thomas Roth in einer E-Mail: "Eine Analyse des Netzwerkverkehrs von mir zeigte eindeutig, dass die Textnachrichten [bei Yuilop] in unverschlüsseltem XMPP versendet werden." Das bedeutet, Nachrichten der App für iOS und Android werden im Klartext übertragen und können zum Beispiel in einem offenen WLAN mitgelesen werden.

  • Das Sniffer-Tool Wireshark zeigt eine ausgehende Yuilop-Nachricht von Sicherheitsforscher Thomas Roth im Klartext. Die Nachricht wurde in einem offenen WLAN abgefangen. (Bild: Thomas Roth/Screenshot: Golem.de)
  • Auch bei unserem Test konnten wir mit Whiteshark eine ausgehende Yuilop-Nachricht im WLAN im Klartext einsehen. (Bild: Screenshot Golem.de)
Das Sniffer-Tool Wireshark zeigt eine ausgehende Yuilop-Nachricht von Sicherheitsforscher Thomas Roth im Klartext. Die Nachricht wurde in einem offenen WLAN abgefangen. (Bild: Thomas Roth/Screenshot: Golem.de)

Roth hatte sich bereits am 12. November per Twitter an die Entwickler des Dienstes gewandt. Er schrieb: "Congratulations to @yuilop for doing their SIP/XMPP stuff in cleartext. Glad we learned things from @whatsapp" - "Gratulation an Yuilop, das seine Nachrichten im Klartext überträgt." Er erhielt keine Antwort.

In einem weiteren Tweet an die Entwickler machte Roth deutlich, dass es sich um eine ernsthafte Sicherheitslücke handele. Er fragte, an wen er sich wegen der Sicherheitsbedenken wenden könne. Er wurde auf ein Supportformular hingewiesen, in dem er sein Anliegen schildern könne. Das machte er auch. Eine Antwort kam nicht.

Nachrichten im Klartext mit Wireshark

Mit den Recherchen Roths konfrontiert, teilte uns Marketingmanager Frisch heute Morgen nochmals mit, dass alle Nachrichten bei Yuilop verschlüsselt seien, nur die Anrufe nicht, wie wir auch in unserem Artikel erwähnten. Ein eigener Test mit Wireshark, einem Programm, das den Datenverkehr in WLANs aufzeichnen und auswerten kann, ergab aber etwas anderes: Eine von uns mit Yuilop versendete Nachricht konnte mit dem Sniffer im Klartext ausgelesen werden.

Wir haben uns daraufhin erneut mit Yuilop in Verbindung gesetzt. Eine Erklärung, wie es zu der Falschaussage kommen konnte, blieb bisher aus. Thomas Roth hat unterdessen weitere Sicherheitslücken gefunden: "Ich habe auch Probleme mit der Authentification festgestellt", schreibt er. "Es ist ziemlich kaputt."

Den Abschnitt Yuilop haben wir aus unserem Beitrag über Alternativen zu Whatsapp entfernt.

Nachtrag vom 16. November 2012, 13:15 Uhr

Mittlerweile hat sich Yuilop-Gründer und -CEO Jochen Doppelhammer schriftlich bei uns gemeldet. "Wir sind über das aufgedeckte Problem sehr betroffen, da wir sehr viel Wert auf die Extra-Sicherheit unseres Services gegenüber anderen ähnlichen Messaging Diensten legen", schreibt er in einer E-Mail. Sein Team habe die Situation falsch eingeschätzt. Außerdem sei eine Bugfix-Version von Yuilop bei Apple eingereicht worden, um den Sicherheitsstandard wieder herzustellen.


Okkarator 17. Nov 2012

Yuilop hat im eigenen Blog ein Dankesschreiben an Golem.de samt Erklärung abgegeben...

IrgendeinNutzer 16. Nov 2012

Soll er eingestellt haben, was auch zu erwarten war.

ryazor 16. Nov 2012

Wen interessiert das?

y.m.m.d. 16. Nov 2012

Naja prinzipell ist das nicht verwerflich. Aber wenn man aufgrund Sicherheitsbedenken...

tingelchen 16. Nov 2012

Es handelt sich hierbei natürlich um ein Softwarefehler. Entstanden durch die Debug...

Kommentieren



Anzeige

  1. Embedded Software Entwickler (m/w)
    e.solutions GmbH, Ulm
  2. HW Engineer / Expert for Telematics & Connectivity Systems / Hardware Ingenieur (m/w)
    Harman Becker Automotive Systems GmbH, Ulm
  3. IT-Administrator Second Level Support (m/w)
    Honda R&D Europe (Deutschland) GmbH über PME - Personal- und Managemententwicklung, Offenbach am Main
  4. Fachgebietsleiter/-in im Fachbereich "Strahlenschutz und Umwelt"
    Bundesamt für Strahlenschutz, Salzgitter

 

Detailsuche


Top-Angebote
  1. TOP-PREIS: Crysis 3 Download
    2,99€
  2. NEU: Caseking Early Christmas
    (u. a. VTX3D Radeon R9 290 X-Edition V2 4GB DDR5 229,90€)
  3. TOP-PREIS: Dead Space 3 Download
    2,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Chaton

    Samsung schaltet seinen Messenger ab

  2. Lehrreiche Geschenke

    Stille Nacht, Bastelnacht

  3. Samsung NX300

    Unabhängige Firmware verschlüsselt Fotos

  4. Arbeiter in China

    BBC findet schlechte Arbeitsbedingungen bei Apple-Zulieferer

  5. Misfortune Cookie

    Sicherheitslücke in Routern angeblich weit verbreitet

  6. Deutscher Entwicklerpreis 2014 Summit

    Das dreifache Balancing für den E-Sport

  7. Sicherheitssystem

    Volvo will Fahrradfahrer mit der Cloud schützen

  8. Security

    Schwere Sicherheitslücke im Git-Client

  9. Lumia Denim

    Verteilung von Windows-Phone-Update hat begonnen

  10. i8-Smartphone

    Linshof erliegt dem (T)Rubel



Haben wir etwas übersehen?

E-Mail an news@golem.de



Netzverschlüsselung: Mythen über HTTPS
Netzverschlüsselung
Mythen über HTTPS
  1. Websicherheit Chrome will vor HTTP-Verbindungen warnen
  2. SSLv3 Kaspersky-Software hebelt Schutz vor Poodle-Lücke aus
  3. TLS-Verschlüsselung Poodle kann auch TLS betreffen

ROM-Ecke: Pac Man ROM - Android gibt alles
ROM-Ecke
Pac Man ROM - Android gibt alles
  1. ROM-Ecke Slimkat - viele Einstellungen und viel Schwarz

Security: Smarthomes, offen wie Scheunentore
Security
Smarthomes, offen wie Scheunentore
  1. Software-Plattform Bosch und Cisco gründen Joint Venture für Smart Home
  2. Pantelligent Die funkende Bratpfanne
  3. Smarthome Das intelligente Haus wird nie fertig

    •  / 
    Zum Artikel