Whatsapp-Zugänge sind nicht geschützt.
Whatsapp-Zugänge sind nicht geschützt. (Bild: Whatsapp)

Sicherheitslücke Webseite erlaubt Whatsapp-Nachrichten im Namen anderer

Die Kurznachrichtenanwendung Whatsapp ist nicht sicher. Es reichen wenige, leicht zu beschaffende Informationen, und schon kann jeder im Namen eines anderen Nachrichten abschicken. Eine Webanwendung vereinfacht Angriffe auf Nutzer des Dienstes, die ihr Passwort oft unbewusst an andere schicken.

Anzeige

Die Kurznachrichtenanwendung Whatsapp ist schön einfach in der Handhabung, dafür aber auch unsicher. Wie leicht es ist, einen Account zu übernehmen, zeigt nun eine neue Webanwendung. Sascha Gehlich hat die Anwendung geschrieben, die sich die bereits bekannten Schwachstellen von Whatsapp zunutze macht. Schon in der vergangenen Woche ist es Heise Security gelungen, mit einfachen Skripten Whatsapp-Zugänge zu übernehmen. Es genügen wenige Informationen eines Opfers, um sich beim Nachrichtendienst anzumelden.

Administratoren wissen teilweise Whatsapp-Passwörter

Die Webanwendung braucht nichts weiter als die Telefonnummer des Opfers sowie entweder die IMEI oder einfach die Mac-Adresse des WLAN-Moduls. Letzteres ist ohne weiteres herauszufinden und betrifft iPhone-Nutzer. Die Mac-Adresse dient Whatsapp sozusagen als vorgegebenes und unveränderbares Passwort. Sie ist dabei einem recht großen Nutzerkreis grundsätzlich bekannt. Der Administrator eines WLANs kann in der Regel sehen, welche Geräte sich angemeldet haben. Diese werden über die Mac-Adresse identifiziert. Aber auch normale Nutzer mit der völlig legitimen Netzwerkanwendung Fing, die wir in unseren Werkzeugkasten aufgenommen haben, können plötzlich Passwörter einsammeln.

Die IMEI zu erlangen ist mitunter noch einfacher. Bei einigen Smartphones ist das Pseudopasswort praktischerweise auf der Rückseite aufgedruckt. Aber auch hier gibt es alternative Wege im System, um an dieses feste Passwort zu gelangen. Sowohl Mac-Adresse als auch IMEI sind weltweit eindeutig. Nur wenige Geräte erlauben eine Änderung dieser Daten. Warum die Whatsapp-Entwickler fest vorgegebene Informationen als Passwörter nutzen, ist bisher unbekannt.

Mit diesen Informationen kann sich nun jeder auf der Whatsapp-Webapp als andere Person ausgeben und beispielsweise verunglimpfende Nachrichten verschicken. Im Interview mit Gulli.com gibt Gehlich an, dass er mehrmals beim Schreiben der Webanwendung mit dem Kopf schütteln musste. Zu offensichtlich sind die Sicherheitslücken für ihn gewesen. Es ist prinzipiell sogar möglich, dass das Opfer gar nicht bemerkt, dass ein anderer Nachrichten verschickt.

Das Webwerkzeug hat aber einen Nachteil. So kann es sich nicht anmelden, wenn ein anderer Whatsapp-Client aktiv ist. Bei einem Test von uns wurde die Verbindung getrennt, sobald das Originalsmartphone wieder Kontakt mit dem Whatsapp-Server aufgenommen hatte. Das ist allerdings kein wirksamer Schutz. Den gibt es derzeit nicht, denn ein einfaches Entfernen der Smartphone-App schützt vor Angriffen nicht und ob das Löschen des Whatsapp-Zugangs verhindert, dass ein Angreifer sich einfach wieder neu anmeldet, haben wir nicht ausprobiert. Wer befürchtet, ein Opfer einer solchen Attacke zu werden, kann nur durch das Informieren seines Bekanntenkreises darauf aufmerksam machen, dass das Risiko besteht. Außerdem sollte sich jeder bewusst werden, dass Nachrichten über Whatsapp nicht unbedingt der Wahrheit entsprechen.

Whatsapp informiert seine Nutzer nicht

Das Unternehmen zeigt leider keinerlei Transparenz. Im Firmenblog gibt es beispielsweise noch immer keinerlei Informationen zu den Sicherheitslücken. Auch in sozialen Netzwerken schweigt das Unternehmen. Dabei wäre es auf der offiziellen Facebook-Seite ein Leichtes, immerhin 1,4 Millionen Fans zu benachrichtigen.

Derweil versucht das Whatsapp-Team, die eigene besonders schlechte Programmierung mit Anwälten auszugleichen. Die Macher des venomous0x-WhatsAPI haben offensichtlich auf anwaltlichen Druck hin den Quellcode des API heruntergenommen. Darauf basiert das Webtool von Gehlich, der den Quellcode schon vorher nutzen konnte, so dass das Tool trotzdem funktioniert.

Whatsapp hat immerhin auf eine ältere Sicherheitslücke reagiert. So gibt es beispielsweise seit der Version 2.8.3 für iOS nun verschlüsselte Kommunikation. Eigentlich ist das selbstverständlich für Nachrichten, die über ein WLAN verschickt werden können. Whatsapp preist das als neue Funktion an. Einen Hinweis darauf, dass die Kommunikation von Teilnehmern, beispielsweise in einem Firmennetzwerk ohne Client Isolation oder gar einem offenen WLAN, von jedem mitgelesen werden konnte, gab es nicht.


alba 11. Aug 2014

Und was ist nun mit Diensten, die von der IMEI abhängen? Ich denke da speziell an GSM...

kendon 07. Jan 2013

und über 3 monate zu spät.

wnstnsmth 30. Sep 2012

Die Entwickler von WhatsAPI haben die Sourcen wieder online gestellt. Ausserdem scheinen...

__destruct() 29. Sep 2012

Und für diese Lücke könnte man dann eine App für einen Euro anbieten, mit der man täglich...

Ben Dover 28. Sep 2012

Muss man ein Passwort eingeben? ...

Kommentieren


Bananas Development Blog / 25. Sep 2012

WhatsUp WhatsApp ?



Anzeige

  1. C-Experten als Software-Entwickler (m/w)
    MVTec Software GmbH, München
  2. SAP Spezialist/in für Berechtigungen und Usermanagement
    Endress+Hauser InfoServe GmbH+Co. KG, Weil am Rhein
  3. Manager (m/w) Funktionale Sicherheit Organisation
    Automotive Safety Technologies GmbH, Gaimersheim/Ingolstadt
  4. IT-Release Manager (m/w)
    Unitymedia GmbH, Köln

 

Detailsuche


Top-Angebote
  1. VORBESTELLBAR: Kampfstern Galactica - Der Pilotfilm - Steelbook [Blu-ray]
    17,20€ (Vorbesteller-Preisgarantie) - Release 24.09.
  2. NUR NOCH HEUTE: PS4-Spiele reduziert
    (u. a. GTA V 42,33€, Project CARS 43,79€, Tamriel Unlimited 43,79€, Alien: Isolation Ripley...
  3. NUR HEUTE: Saturn Super Sunday
    (u. a. GoPro Hero 4 Silver Adventure Edition + SP Gadgets Action Bundle für 379,00€ - solange...

 

Weitere Angebote


Folgen Sie uns
       


  1. Telefonie und Internet

    Störungen bei O2 und 1und1 in Berlin

  2. Telltale

    Details und Trailer zu Minecraft Story Mode veröffentlicht

  3. Geheimdienst

    NSA spähte Dutzende Telefone der Regierung Brasiliens aus

  4. Raumfahrt

    Russisches Versorgungsschiff erreicht ISS

  5. UNHRC

    Die UNO hat einen Sonderberichterstatter für Datenschutz

  6. Nordamerika

    Arin aktiviert Wartelistensystem für IPv4-Adressen

  7. Modellreihe CUH-1200

    Neue PS4 nutzt halb so viele Speicherchips

  8. Die Woche im Video

    Apple Music gestartet, Netzneutralität bedroht, NSA geleakt

  9. Internet.org

    Mark Zuckerberg will Daten per Laser auf die Erde übertragen

  10. TLC-Flash

    Samsung plant SSDs mit 2 und 4 TByte



Haben wir etwas übersehen?

E-Mail an news@golem.de



Anonymes Surfen: Die Tor-Zentrale für zu Hause
Anonymes Surfen
Die Tor-Zentrale für zu Hause
  1. Anonymisierung Zur Sicherheit den eigenen Tor-Knoten betreiben
  2. Tor Hidden Services leichter zu deanonymisieren
  3. Projekt Astoria Algorithmen gegen Schnüffler im Tor-Netzwerk

Xperia Z4 Tablet im Test: Dünn, leicht und heiß
Xperia Z4 Tablet im Test
Dünn, leicht und heiß
  1. First Flight Sony stellt Crowdfunding-Plattform für eigene Ideen vor
  2. Android-Entwicklung Sony bietet Android-M-Vorschau für Xperia-Geräte an
  3. Android Recovery Mode jetzt offiziell für Sony-Smartphones verfügbar

Protokoll: DNSSEC ist gescheitert
Protokoll
DNSSEC ist gescheitert
  1. VPN-Schwachstellen PureVPN veröffentlicht Patch für seine Windows-Software
  2. Security Viele VPN-Dienste sind unsicher

  1. Re: Das werden wir wohl nie erfahren

    Der Held vom... | 16:56

  2. Re: wenn man nicht dran arbeitet weiss.man auch...

    melmich | 16:56

  3. Re: Wie peilt man die Drohne an?

    muhzilla | 16:54

  4. Re: warum nicht als kauf dlc in Minecraft einbauen?

    non_sense | 16:51

  5. Re: Das verbrennen die Amis Millionen von Dollar

    mnementh | 16:50


  1. 14:50

  2. 14:34

  3. 12:32

  4. 12:17

  5. 14:04

  6. 11:55

  7. 10:37

  8. 09:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel