Abo
  • IT-Karriere:

Instant Messenger: Yuilop ist doch keine Alternative zu Whatsapp

Vorsicht bei der Verwendung des Instant Messengers Yuilop: Der Dienst verschickt Nachrichten unverschlüsselt im Klartext. Uns hatten die Entwickler etwas anderes gesagt.

Artikel veröffentlicht am , /
Die Website von Yuilop
Die Website von Yuilop (Bild: Screenshot Golem.de)

"Yuilop verschlüsselt grundsätzlich alle Textnachrichten": Mit dieser Erklärung hat uns Yuilops Marketingmanager Jacques Frisch bei unserer Recherche nach Alternativen zu dem als unsicher geltenden Messenger Whatsapp überzeugt. Leider war sie unwahr.

Stellenmarkt
  1. Concardis GmbH, Eschborn
  2. Landesamt für Steuern Niedersachsen, Hannover

Kurz nach der Veröffentlichung unseres Artikels über Instant Messenger schrieb uns Sicherheitsforscher Thomas Roth in einer E-Mail: "Eine Analyse des Netzwerkverkehrs von mir zeigte eindeutig, dass die Textnachrichten [bei Yuilop] in unverschlüsseltem XMPP versendet werden." Das bedeutet, Nachrichten der App für iOS und Android werden im Klartext übertragen und können zum Beispiel in einem offenen WLAN mitgelesen werden.

  • Das Sniffer-Tool Wireshark zeigt eine ausgehende Yuilop-Nachricht von Sicherheitsforscher Thomas Roth im Klartext. Die Nachricht wurde in einem offenen WLAN abgefangen. (Bild: Thomas Roth/Screenshot: Golem.de)
  • Auch bei unserem Test konnten wir mit Whiteshark eine ausgehende Yuilop-Nachricht im WLAN im Klartext einsehen. (Bild: Screenshot Golem.de)
Das Sniffer-Tool Wireshark zeigt eine ausgehende Yuilop-Nachricht von Sicherheitsforscher Thomas Roth im Klartext. Die Nachricht wurde in einem offenen WLAN abgefangen. (Bild: Thomas Roth/Screenshot: Golem.de)

Roth hatte sich bereits am 12. November per Twitter an die Entwickler des Dienstes gewandt. Er schrieb: "Congratulations to @yuilop for doing their SIP/XMPP stuff in cleartext. Glad we learned things from @whatsapp" - "Gratulation an Yuilop, das seine Nachrichten im Klartext überträgt." Er erhielt keine Antwort.

In einem weiteren Tweet an die Entwickler machte Roth deutlich, dass es sich um eine ernsthafte Sicherheitslücke handele. Er fragte, an wen er sich wegen der Sicherheitsbedenken wenden könne. Er wurde auf ein Supportformular hingewiesen, in dem er sein Anliegen schildern könne. Das machte er auch. Eine Antwort kam nicht.

Nachrichten im Klartext mit Wireshark

Mit den Recherchen Roths konfrontiert, teilte uns Marketingmanager Frisch heute Morgen nochmals mit, dass alle Nachrichten bei Yuilop verschlüsselt seien, nur die Anrufe nicht, wie wir auch in unserem Artikel erwähnten. Ein eigener Test mit Wireshark, einem Programm, das den Datenverkehr in WLANs aufzeichnen und auswerten kann, ergab aber etwas anderes: Eine von uns mit Yuilop versendete Nachricht konnte mit dem Sniffer im Klartext ausgelesen werden.

Wir haben uns daraufhin erneut mit Yuilop in Verbindung gesetzt. Eine Erklärung, wie es zu der Falschaussage kommen konnte, blieb bisher aus. Thomas Roth hat unterdessen weitere Sicherheitslücken gefunden: "Ich habe auch Probleme mit der Authentification festgestellt", schreibt er. "Es ist ziemlich kaputt."

Den Abschnitt Yuilop haben wir aus unserem Beitrag über Alternativen zu Whatsapp entfernt.

Nachtrag vom 16. November 2012, 13:15 Uhr

Mittlerweile hat sich Yuilop-Gründer und -CEO Jochen Doppelhammer schriftlich bei uns gemeldet. "Wir sind über das aufgedeckte Problem sehr betroffen, da wir sehr viel Wert auf die Extra-Sicherheit unseres Services gegenüber anderen ähnlichen Messaging Diensten legen", schreibt er in einer E-Mail. Sein Team habe die Situation falsch eingeschätzt. Außerdem sei eine Bugfix-Version von Yuilop bei Apple eingereicht worden, um den Sicherheitsstandard wieder herzustellen.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. (-91%) 5,25€
  3. 27,99€
  4. 3,99€

Okkarator 17. Nov 2012

Yuilop hat im eigenen Blog ein Dankesschreiben an Golem.de samt Erklärung abgegeben...

IrgendeinNutzer 16. Nov 2012

Soll er eingestellt haben, was auch zu erwarten war.

ryazor 16. Nov 2012

Wen interessiert das?

y.m.m.d. 16. Nov 2012

Naja prinzipell ist das nicht verwerflich. Aber wenn man aufgrund Sicherheitsbedenken...

tingelchen 16. Nov 2012

Es handelt sich hierbei natürlich um ein Softwarefehler. Entstanden durch die Debug...


Folgen Sie uns
       


Escape Room in VR ausprobiert

Wir haben uns das Spiel Huxley von Exit VR näher angesehen.

Escape Room in VR ausprobiert Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


      Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
      Ada und Spark
      Mehr Sicherheit durch bessere Programmiersprachen

      Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
      Von Johannes Kanig

      1. Das andere How-to Deutsch lernen für Programmierer
      2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
      3. Software-Entwickler Welche Programmiersprache soll ich lernen?

        •  /