Netzwelt


SMS-Ersatz: Sicherheitsexperten warnen vor WhatsApp

Mehr als eine Milliarde Nachrichten werden mit dem SMS-Ersatz WhatsApp täglich verschickt, jetzt warnen Experten: Die App ist nur unzureichend geschützt. Fremde können die Accounts sehr leicht übernehmen - und ein einmal gekaperter Zugang lässt sich nicht mehr retten.

WhatsApp-App auf dem iPhone: Mit einfachen Mitteln Accounts übernehmenZur Großansicht
Whatsapp Inc

WhatsApp-App auf dem iPhone: Mit einfachen Mitteln Accounts übernehmen

Kein Zweifel: Die Smartphone-App WhatsApp ist populär. 2,1 Millionen Mal klickten Facebook-Nutzer bislang den "Gefällt mir"-Knopf auf der Homepage des Herstellers. Pro Tag versenden Anwender eine Milliarde Nachrichten mit der App, die für alle wichtigen Handy-Betriebssysteme erhältlich ist. Der Grund für den Erfolg: Mit WhatsApp kann man, wie bei SMS, Textnachrichten an Freunde und Bekannte verschicken, nur dass sie nichts kosten. Doch jetzt haben die Experten von "heise Security" herausgefunden, dass WhatsApp-Accounts schlecht geschützt sind: Die Konten lassen sich mit einfachen Mitteln übernehmen.

Kritik an der Sicherheit der WhatsApp-App hatte es schon zuvor gegeben, weil die Software die Nachrichtentexte unverschlüsselt zwischen den Nutzern hin und her geschickt hatte. Eine App namens WhatsApp Sniffer machte sich die Lücke zunutze und ermöglichte es jedermann, empfangene und verschickte WhatsApp-Nachrichten im gleichen Netzwerk mitzulesen. Als Reaktion auf die öffentliche Schelte hat der Hersteller im August begonnen, die Texte zu verschlüsseln, ohne zu erklären, welche Verschlüsselungstechnik dabei zum Einsatz kommt.

Sicher ist die App deswegen aber noch nicht. Einem Test von "heise Security" zufolge lassen sich Accounts bei dem Messaging-Dienst mit frei zugänglicher Software übernehmen. Voraussetzung dafür sei, dass der jeweilige Anwender die App in einem öffentlichen W-Lan verwende. Möglich ist der Trick sowohl bei iPhones als auch bei Android-Handys.

Kontrollverlust

Die Grundlage des Angriffs sei, bei iOS-Geräten deren MAC-Adresse herauszufinden und bei Android-Handys deren Seriennummer (IMEI). Aus diesen Daten werde automatisch das Anmeldepasswort für den WhatsApp-Server erzeugt. Diese Angaben zu erlangen sei nicht sonderlich schwierig, erklärt "heise Security". So könne man die IMEI oft auf der Rückseite des Handys ablesen, während die MAC-Adresse in einem öffentlichen W-Lan leicht mitgelesen werden kann. IMEIs lassen sich in jedem Fall herausfinden, wenn man das betreffende Gerät einmal entsperrt in die Hand bekommt.

Mit diesen Daten ausgerüstet war die Übernahme eines Accounts mit Hilfe freier Software für die Experten offenbar ein Leichtes: "Wir mussten lediglich Rufnummer und MAC-Adresse bzw. IMEI in ein mitgeliefertes Skript eintragen und konnten anschließend über die Eingabeaufforderung beliebige Nachrichten in dessen Namen verschicken. Absender war stets die Rufnummer des kompromittierten Accounts."

WhatsApp-Anwender sind der Sicherheitslücke schutzlos ausgeliefert. Wer die App in einem offenen W-Lan nutzt, läuft stets Gefahr, die Kontrolle über seinen Account zu verlieren. Laut "heise Security" gibt es derzeit keine Möglichkeit, einen derart gekaperten Zugang selbst wieder abzudichten. Wer die App trotzdem verwenden will, tut deshalb gut daran, sie nur in gut geschützten (am besten per WPA2-Verschlüsselung) Drahtlosnetzen zu benutzen.

mak

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
Auf anderen Social Networks teilen
  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum
Diskutieren Sie über diesen Artikel
insgesamt 111 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Panikmache?
hasenfuss27 17.09.2012
---Zitat--- Die Grundlage des Angriffs sei, bei iOS-Geräten deren MAC-Adresse herauszufinden und bei Android-Handys deren Seriennummer (IMEI). Aus diesen Daten werde automatisch das Anmeldepasswort für den WhatsApp-Server [...]
---Zitat--- Die Grundlage des Angriffs sei, bei iOS-Geräten deren MAC-Adresse herauszufinden und bei Android-Handys deren Seriennummer (IMEI). Aus diesen Daten werde automatisch das Anmeldepasswort für den WhatsApp-Server erzeugt. Diese Angaben zu erlangen sei nicht sonderlich schwierig, erklärt "heise Security". So könne man die IMEI oft auf der Rückseite des Handys ablesen, während die MAC-Adresse in einem öffentlichen W-Lan leicht mitgelesen werden kann. IMEIs lassen sich in jedem Fall herausfinden, wenn man das betreffende Gerät einmal entsperrt in die Hand bekommt. ---Zitatende--- Okay, die Geschichte mit der MAC-Adresse ist nicht ganz so schön... Aber sorry Leute - die IMEI (Bei Welchem Handy steht die denn Bitte auf der Rückseite???) ist ne ganz andere Hausnummer... Wenn ich einem bösen Buben mein ungesperrtes Handy in die Hand gebe ist ein gekaperter WhatsApp Zugang glaube ich mein geringstes Problem... Welcher Provider hat diesen Artikel denn bezahlt?
2. Prof. Dr. rer. nat. phil.
KobiDror 17.09.2012
Ich weiß schon, warum ich SMS schreibe. Heutzutage sind oftmals SMS Flats inklusive. Naja, Hauptsache für alles ne App nutzen und bloß nicht das Hirn einschalten.
Ich weiß schon, warum ich SMS schreibe. Heutzutage sind oftmals SMS Flats inklusive. Naja, Hauptsache für alles ne App nutzen und bloß nicht das Hirn einschalten.
3.
kjartan75 17.09.2012
Also, wenn ich das richtig verstehe, kann man das alles nur machen, wenn man das Handy einmal in der Hand hatte, um die MAC/IMEI-Adresse zu bekommen. Die Wahrscheinlichkeit ist dann aber sehr gering, dass man sein Handy irgendwo [...]
Also, wenn ich das richtig verstehe, kann man das alles nur machen, wenn man das Handy einmal in der Hand hatte, um die MAC/IMEI-Adresse zu bekommen. Die Wahrscheinlichkeit ist dann aber sehr gering, dass man sein Handy irgendwo liegen lässt, der dann noch ein Betrüger ist und genau sich für das WhatsApp interessiert...oder sehe ich das falsch.
4. Imei
Somethinglost 17.09.2012
Ausser bei iPhones, stehen die IMEI-Nummern prinzipiell unter dem Akku. Beim iPhone auf dem Schlitten der Simkarte. Prinzipiell ist die Aussage also richtig, nur unpräzise.
Zitat von hasenfuss27Okay, die Geschichte mit der MAC-Adresse ist nicht ganz so schön... Aber sorry Leute - die IMEI (Bei Welchem Handy steht die denn Bitte auf der Rückseite???) ist ne ganz andere Hausnummer... Wenn ich einem bösen Buben mein ungesperrtes Handy in die Hand gebe ist ein gekaperter WhatsApp Zugang glaube ich mein geringstes Problem... Welcher Provider hat diesen Artikel denn bezahlt?
Ausser bei iPhones, stehen die IMEI-Nummern prinzipiell unter dem Akku. Beim iPhone auf dem Schlitten der Simkarte. Prinzipiell ist die Aussage also richtig, nur unpräzise.
5. Die Idee hinter WhatsApp ist gut
sailor60 17.09.2012
nur die regelmäßig auftauchende Nachricht: "Ihr Client ist nicht mehr aktuell" (oder so ähnlich) nervte mich so sehr, dass ich es gleich wieder deinstalliert habe. Das aktuelle Sicherheitsproblem ist noch so ein Problem [...]
nur die regelmäßig auftauchende Nachricht: "Ihr Client ist nicht mehr aktuell" (oder so ähnlich) nervte mich so sehr, dass ich es gleich wieder deinstalliert habe. Das aktuelle Sicherheitsproblem ist noch so ein Problem - den meisten gerade jungen usern ist das allerdings vollkommen egal. Mal sehen wie sich RCS-e schlägt.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt Twitter | RSS
alles aus der Rubrik Apps RSS
alles zum Thema Computersicherheit RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Montag, 17.09.2012 – 12:10 Uhr
  • Drucken Versenden Feedback
  • Kommentieren | 111 Kommentare
Alle Themenseiten
Konkurrenz zur SMS

Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Virus
Rootkit
Wurm
Drive-by
Botnetz
Fakeware, Ransomware
Zero-Day-Exploits
Risiko Nummer eins: Nutzer
DDoS-Attacken
Verwandte Themen

Mehr auf SPIEGEL ONLINE
Mehr im Internet
SPIEGEL ONLINE ist nicht verantwortlich
für die Inhalte externer Internetseiten.




MEHR AUS DEM RESSORT NETZWELT

Übersicht Netzwelt
TOP



TOP