SMS-Ersatz Sicherheitsexperten warnen vor WhatsApp

Mehr als eine Milliarde Nachrichten werden mit dem SMS-Ersatz WhatsApp täglich verschickt, jetzt warnen Experten: Die App ist nur unzureichend geschützt. Fremde können die Accounts sehr leicht übernehmen - und ein einmal gekaperter Zugang lässt sich nicht mehr retten.

WhatsApp-App auf dem iPhone: Mit einfachen Mitteln Accounts übernehmen
Whatsapp Inc

WhatsApp-App auf dem iPhone: Mit einfachen Mitteln Accounts übernehmen


Kein Zweifel: Die Smartphone-App WhatsApp ist populär. 2,1 Millionen Mal klickten Facebook-Nutzer bislang den "Gefällt mir"-Knopf auf der Homepage des Herstellers. Pro Tag versenden Anwender eine Milliarde Nachrichten mit der App, die für alle wichtigen Handy-Betriebssysteme erhältlich ist. Der Grund für den Erfolg: Mit WhatsApp kann man, wie bei SMS, Textnachrichten an Freunde und Bekannte verschicken, nur dass sie nichts kosten. Doch jetzt haben die Experten von "heise Security" herausgefunden, dass WhatsApp-Accounts schlecht geschützt sind: Die Konten lassen sich mit einfachen Mitteln übernehmen.

Kritik an der Sicherheit der WhatsApp-App hatte es schon zuvor gegeben, weil die Software die Nachrichtentexte unverschlüsselt zwischen den Nutzern hin und her geschickt hatte. Eine App namens WhatsApp Sniffer machte sich die Lücke zunutze und ermöglichte es jedermann, empfangene und verschickte WhatsApp-Nachrichten im gleichen Netzwerk mitzulesen. Als Reaktion auf die öffentliche Schelte hat der Hersteller im August begonnen, die Texte zu verschlüsseln, ohne zu erklären, welche Verschlüsselungstechnik dabei zum Einsatz kommt.

Sicher ist die App deswegen aber noch nicht. Einem Test von "heise Security" zufolge lassen sich Accounts bei dem Messaging-Dienst mit frei zugänglicher Software übernehmen. Voraussetzung dafür sei, dass der jeweilige Anwender die App in einem öffentlichen W-Lan verwende. Möglich ist der Trick sowohl bei iPhones als auch bei Android-Handys.

Kontrollverlust

Die Grundlage des Angriffs sei, bei iOS-Geräten deren MAC-Adresse herauszufinden und bei Android-Handys deren Seriennummer (IMEI). Aus diesen Daten werde automatisch das Anmeldepasswort für den WhatsApp-Server erzeugt. Diese Angaben zu erlangen sei nicht sonderlich schwierig, erklärt "heise Security". So könne man die IMEI oft auf der Rückseite des Handys ablesen, während die MAC-Adresse in einem öffentlichen W-Lan leicht mitgelesen werden kann. IMEIs lassen sich in jedem Fall herausfinden, wenn man das betreffende Gerät einmal entsperrt in die Hand bekommt.

Mit diesen Daten ausgerüstet war die Übernahme eines Accounts mit Hilfe freier Software für die Experten offenbar ein Leichtes: "Wir mussten lediglich Rufnummer und MAC-Adresse bzw. IMEI in ein mitgeliefertes Skript eintragen und konnten anschließend über die Eingabeaufforderung beliebige Nachrichten in dessen Namen verschicken. Absender war stets die Rufnummer des kompromittierten Accounts."

WhatsApp-Anwender sind der Sicherheitslücke schutzlos ausgeliefert. Wer die App in einem offenen W-Lan nutzt, läuft stets Gefahr, die Kontrolle über seinen Account zu verlieren. Laut "heise Security" gibt es derzeit keine Möglichkeit, einen derart gekaperten Zugang selbst wieder abzudichten. Wer die App trotzdem verwenden will, tut deshalb gut daran, sie nur in gut geschützten (am besten per WPA2-Verschlüsselung) Drahtlosnetzen zu benutzen.

mak

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 112 Beiträge
Alle Kommentare öffnen
Seite 1
hasenfuss27 17.09.2012
1. Panikmache?
---Zitat--- Die Grundlage des Angriffs sei, bei iOS-Geräten deren MAC-Adresse herauszufinden und bei Android-Handys deren Seriennummer (IMEI). Aus diesen Daten werde automatisch das Anmeldepasswort für den WhatsApp-Server erzeugt. Diese Angaben zu erlangen sei nicht sonderlich schwierig, erklärt "heise Security". So könne man die IMEI oft auf der Rückseite des Handys ablesen, während die MAC-Adresse in einem öffentlichen W-Lan leicht mitgelesen werden kann. IMEIs lassen sich in jedem Fall herausfinden, wenn man das betreffende Gerät einmal entsperrt in die Hand bekommt. ---Zitatende--- Okay, die Geschichte mit der MAC-Adresse ist nicht ganz so schön... Aber sorry Leute - die IMEI (Bei Welchem Handy steht die denn Bitte auf der Rückseite???) ist ne ganz andere Hausnummer... Wenn ich einem bösen Buben mein ungesperrtes Handy in die Hand gebe ist ein gekaperter WhatsApp Zugang glaube ich mein geringstes Problem... Welcher Provider hat diesen Artikel denn bezahlt?
KobiDror 17.09.2012
2. Prof. Dr. rer. nat. phil.
Ich weiß schon, warum ich SMS schreibe. Heutzutage sind oftmals SMS Flats inklusive. Naja, Hauptsache für alles ne App nutzen und bloß nicht das Hirn einschalten.
kjartan75 17.09.2012
3.
Also, wenn ich das richtig verstehe, kann man das alles nur machen, wenn man das Handy einmal in der Hand hatte, um die MAC/IMEI-Adresse zu bekommen. Die Wahrscheinlichkeit ist dann aber sehr gering, dass man sein Handy irgendwo liegen lässt, der dann noch ein Betrüger ist und genau sich für das WhatsApp interessiert...oder sehe ich das falsch.
Somethinglost 17.09.2012
4. Imei
Zitat von hasenfuss27Okay, die Geschichte mit der MAC-Adresse ist nicht ganz so schön... Aber sorry Leute - die IMEI (Bei Welchem Handy steht die denn Bitte auf der Rückseite???) ist ne ganz andere Hausnummer... Wenn ich einem bösen Buben mein ungesperrtes Handy in die Hand gebe ist ein gekaperter WhatsApp Zugang glaube ich mein geringstes Problem... Welcher Provider hat diesen Artikel denn bezahlt?
Ausser bei iPhones, stehen die IMEI-Nummern prinzipiell unter dem Akku. Beim iPhone auf dem Schlitten der Simkarte. Prinzipiell ist die Aussage also richtig, nur unpräzise.
ripleyllab 17.09.2012
5. Etwas übertriebene Panikmache
bzw. der falsche Ansatz. Es ist natürlich richtig in diesem Zusammenhang bei der Verwendung von Whatsapp zu warnen. Aber vor allem sollte SPON vor der Verwendung der ungeschützten WLANs warnen. " IMEIs lassen sich in jedem Fall herausfinden, wenn man das betreffende Gerät einmal entsperrt in die Hand bekommt." Wenn ein krimineller mein Smartphone entsperrt in die Hand bekommt, ist das Übernehmen meines Whatsapp Accounts bestimmt die letzte seiner Idee. Also ruhig Blut. Und wie überall im Internet: Augen auf und Verstand benutzen!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.