Sicherheitslücke Accounts von Whatsapp weiterhin leicht zu übernehmen

Auch die aktuelle Version von Whatsapp weist eine Lücke auf, durch die sich Accounts kapern lassen. Dann ist es möglich, im Namen einer anderen Person Nachrichten zu senden und zu empfangen.

Anzeige

Auch mit der aktuellen Version 2.8.7326 für Android weist die Kurznachrichtenanwendung Whatsapp eine Sicherheitslücke auf, die mindestens seit September 2012 bekannt ist: Mit wenigen, leicht zu beschaffenden Informationen kann der Account einer anderen Person übernommen werden. Dann ist es möglich, im Namen des Anderen Nachrichten zu versenden und zu empfangen.

Wie Heise Online berichtet, reicht es dafür wie bei ersten Exploits der Lücke aus, die Telefonnummer und die Seriennummer (IMEI) der Zielperson zu beschaffen. Das ist insbesondere bei Bekannten recht leicht, mit denen man ohnehin in Kontakt steht. Die IMEI ist in der Regel im Akkufach des Handys aufgedruckt, bei manchen Geräten auch auf der Verpackung oder der Rückseite des Handys. Hat der Angreifer Zugriff auf ein eingeschaltetes und nicht gesperrtes Telefon, lässt sich die IMEI bei Android und iOS auch ohne weitere Tools über das Betriebssystem auslesen. Betroffen scheint von der neuen Lücke bisher nur Android zu sein, unter iOS erzeugt Whatsapp den Account nicht aus der IMEI, sondern der MAC-Adresse des WLAN-Moduls.

Mit IMEI und Telefonnummer konnte Heise Online einen fremden Account übernehmen. Dafür war ein Skript nötig, das ein Leser des Dienstes bereitgestellt hatte. Es generiert aus den bekannten Daten das Passwort, mit dem sich die App bei ihrem Server anmeldet.

Whatsapp reagiert, aber völlig unzureichend

Anders als in der Vergangenheit hat der Anbieter der Software auf die Lücke reagiert, wenn auch nur sporadisch: Auf eine Anfrage von Heise zu der Lücke gab es nach einigen Tagen eine Antwort, in der sich das Unternehmen nach der genutzten Version der App erkundigte. Weitere Anfragen, unter anderem mit dem Angebot, weitere Informationen zur Verfügung zu stellen, blieben unbeantwortet. In seinem Blog hat Whatsapp zu der neuen Lücke bisher nicht Stellung genommen.

Da davon auszugehen ist, dass sich die neuen Exploits früher oder später öffentlich zugänglich im Netz finden werden und sich der Hersteller der App auch in der Vergangenheit nicht um Transparenz bemüht hat, kann vom Einsatz von Whatsapp weiterhin nur abgeraten werden. Es gibt auch andere Apps für den kostenlosen Versand von Kurznachrichten, wie unser Report 'Alternativen zum unsicheren Whatsapp' zeigt.

Kommentarübersicht
Re: für wichtige sachen
jurtsche 30. Nov 2012

https://play.google.com/store/apps/details?id=com.woodkick.pgpsms :)

Re: WhatsApp ablösen
gollumm 30. Nov 2012

Aus dem Internet und aus der Logik heraus? Wie sollen sie Dir sagen, wer den Dienst...

Re: BILD dir deine Meinung
azeu 29. Nov 2012

eine Sicherheitswarnung?

Re: Brace yourself
BenediktRau 29. Nov 2012

Dafür nervt ICQ mit Täglichen russischen Freundesanfragen weil das Konzept Nutzername...

Re: iPhone sicher?
Kampfmelone 29. Nov 2012

Weil du für 5-10¤ im Monat auch eine schnelle Verbindung bekommst, die zuverlässig...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. IT-Systemspezialist (m/w)
    PENSIONS-SICHERUNGS-VEREIN VVaG, Köln
  2. Help Desk Techniker / Help Desk Technikerin
    Scheidt & Bachmann System Service GmbH, Mönchengladbach
  3. Entwicklungsingenieur/in Firmware
    Hexagon Metrology GmbH, Wetzlar
  4. Referent SAP ERP HCM (m/w)
    Buchen IndustrieService GmbH, Köln

 

Detailsuche

Folgen Sie uns
       
Videos
Wisee erkennt Bewegungen durch WLAN-Signale Wisee erkennt Bewegungen durch WLAN-Signale
Ticker
  1. 40 gefährliche Sicherheitslücken

    Aktueller Patch von Oracle nur für Java 7

  2. Hands On

    Huawei Ascend P6 ist schick und schlank

  3. Letzte Meile

    Bundesnetzagentur senkt Preise für TAL am Schaltverteiler

  4. Prism

    Wie der BND das Netz überwacht

  5. Socl

    Microsofts soziales Netzwerk wird zum Meme-Generator

  6. XMP-Profile

    Kompatibilitätslisten zu DDR3-Modulen für Haswell

  7. Datenbrille

    Datenschützer halten Google Glass für nicht EU-tauglich

  8. We are Watching You

    Widerstand gegen Kinect-Überwachung in den USA

  9. Netflix und Dreamworks

    Shrek & Co. bald in neuen Streaming-Serien

  10. LC-90LE757

    Sharp bringt 90-Zoll-TV für 13.000 Euro

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Watch Dogs
Watch Dogs: Der Sysadmin-Alptraum
Watch Dogs
Der Sysadmin-Alptraum

E3 2013 Er hackt Stadtnetze, kapert vom Smartphone bis zum Rechenzentrum jedes fremde System in Sekundenbruchteilen - aber der Held in Watch Dogs kann auch jederzeit zum Opfer anderer Spieler werden. Golem.de hat mit den Entwicklern über Hacker, die Technik und über das Überwachungsprogramm Prism gesprochen.

  1. Ubisoft Gitarrenriffs, Hacker und infiziertes Geld
  2. Playstation 4 400 Euro und keine Gebrauchtspielsperren
  3. Xbox One Hauseigene Halo-Konkurrenz und neues Altes von Rage
Blog
In eigener Sache: Golem.de öffnet sich für Autoren
In eigener Sache
Golem.de öffnet sich für Autoren

Wir erweitern für Blogger und andere Autoren die Möglichkeit, ihre Inhalte hier auf Golem.de zu veröffentlichen und so von unserer Reichweite und unseren Finanzierungsmöglichkeiten zu profitieren. Es geht uns darum, ein neues, zeitgemäßes Modell des Publizierens zu etablieren und unseren Lesern noch mehr relevante Inhalte zu bieten.

  1. #Blognetz Deutsche Blogger, vereinigt euch
Vodafone
Liberty Global: Unitymedia-Eigner will Kabel Deutschland kaufen
Liberty Global
Unitymedia-Eigner will Kabel Deutschland kaufen

Liberty Global hat 7,5 Milliarden Euro für Kabel Deutschland geboten. Vodafones Kaufangebot war als zu niedrig abgelehnt worden.

  1. Stellenabbau Vodafone sagt aus Angst vor Protesten Philipp Rösler ab
  2. TV-Kabelnetz Liberty Global soll Kauf von Kabel Deutschland planen
  3. IT-Arbeitsplätze Widerstand gegen Stellenabbau bei Vodafone Deutschland
Forumsbeiträge »
  1. Xbox One "Microsofts Geschäftspolitik gefährdet Xbox-Geschäft"

    Re: Xbox One Pre-Order Product Information

    Tzven | 01:25

  2. Xbox One "Microsofts Geschäftspolitik gefährdet Xbox-Geschäft"

    Re: Bei Amazon ist man ja besonders schlau

    megaheld | 01:24

  3. Hosting Runde Mac Pro liegen im Weinregal des Rechenzentrums

    Re: Ineffizientestes Design ever

    DrFakkamann | 01:22

  4. Xbox One "Microsofts Geschäftspolitik gefährdet Xbox-Geschäft"

    Re: Microsoft ist wohl das neue Nokia...

    megaheld | 01:11

  5. We are Watching You Widerstand gegen Kinect-Überwachung in den USA

    Re: und was ist mit iPhone, Laptop, Tablet und co?

    F4yt | 01:10

Ticker »
  1. 40 gefährliche Sicherheitslücken Aktueller Patch von Oracle nur für Java 7

    01:12

  2. Hands On Huawei Ascend P6 ist schick und schlank

    21:39

  3. Letzte Meile Bundesnetzagentur senkt Preise für TAL am Schaltverteiler

    20:08

  4. Prism Wie der BND das Netz überwacht

    19:36

  5. Socl Microsofts soziales Netzwerk wird zum Meme-Generator

    18:40

  6. XMP-Profile Kompatibilitätslisten zu DDR3-Modulen für Haswell

    18:24

  7. Datenbrille Datenschützer halten Google Glass für nicht EU-tauglich

    18:06

  8. We are Watching You Widerstand gegen Kinect-Überwachung in den USA

    17:57

Zum Artikel