SMS-Ersatz: Sicherheitslücke bringt WhatsApp in Verruf

Von Richard Meusers

Der SMS-Ersatz WhatsApp macht schon wieder Schlagzeilen wegen einer gravierenden Sicherheitslücke. Nutzerkonten lassen sich auch in der neuen Version der App ohne große Probleme kapern: Die Seriennummer eines Smartphones reicht aus, um sich den darauf installierten Account zu schnappen.

WhatsApp-Icon: Experten raten von der Nutzung des beliebten Nachrichten-Dienstes ab Zur Großansicht
dapd

WhatsApp-Icon: Experten raten von der Nutzung des beliebten Nachrichten-Dienstes ab

Gerade einmal zwei Monate ist es her, dass Sicherheitsexperten vor dem populären SMS-Ersatz WhatsApp warnten. Die Software wies eine schwere Sicherheitslücke auf. Angreifer konnten sich auf Smartphones Zugang zum Programm verschaffen; dazu benötigten sie lediglich bei iOS-Geräten deren MAC-Adresse und bei Android-Handys deren Seriennummer (IMEI). Diese Daten genügten, um automatisch das Anmeldepasswort für den WhatsApp-Server zu erzeugen. Die WhatsApp-Macher versprachen Besserung, mit der Programmversion 2.8.7326 der Nachrichten-App sollte das Problem eigentlich behoben sein.

Doch nun berichtet "heise Security", schon wieder sei es möglich, ein WhatsApp-Profil ohne besondere Umstände zu übernehmen. Die Vorgehensweise soll dem Bericht zufolge dem im September entdeckten Prozedere sehr ähnlich sein. Für einen erfolgreichen Angriff wird demnach nur die Seriennummer des Handys benötigt und zusätzlich die Handynummer. Ein spezielles Skript, das "heise Security" von einem Leser zur Verfügung gestellt worden sei, generiere das vom WhatsApp-Server geforderte Passwort.

Dieses für Android-Smartphones ausgelegte Verfahren funktioniere jedoch ebenfalls für Geräte mit anderen Betriebssystemen. Ein Test habe ergeben, dass auch iOS-Geräte nicht sicher seien, sondern die Übernahme des WhatsApp-Profils ermöglichten.

Lieber wieder SMS verschicken

Laut "heise" geben die in Kalifornien ansässigen Betreiber des Dienstes keinerlei Informationen über den aktuellen Stand der Sicherheitsbemühungen. Obwohl WhatsApp Inc. Bereits vor Tagen über das Leck informiert worden sei, habe das Unternehmen lediglich beantwortet, welche App-Version betroffen sei - und sonst nichts von sich hören lassen. Selbst das Angebot, sämtliche Details über die Kapermöglichkeit inklusive des dafür genutzten Scripts zur Verfügung zu stellen, sei ohne Reaktion geblieben. Eine Haltung, die für "heise" unter dem Motto "Security through Obscurity" (etwa: Sicherheit durch Verschwiegenheit) steht.

Unterm Strich gelte ein eindeutiges Fazit: Angesichts der bisherigen Erfahrungen mit dem Umgang von WhatsApp mit dem Thema Sicherheit könne von der Nutzung nur abgeraten werden. Alternativen gebe es schließlich genug, von Skype über Facebook bis hin zur guten, alten SMS.

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum - Diskutieren Sie über diesen Artikel
insgesamt 43 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. hm
felisconcolor 29.11.2012
Zitat von sysopDer SMS-Ersatz WhatsApp macht schon wieder Schlagzeilen wegen einer gravierenden Sicherheitslücke. Nutzerkonten lassen sich auch in der neuen Version der App ohne große Probleme kapern: Die Seriennummer eines Smartphones reicht aus, um sich den darauf installierten Account zu schnappen. WhatsApp: Konten können schon wieder gekapert werden - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/apps/whatsapp-konten-koennen-schon-wieder-gekapert-werden-a-869916.html)
zumal ich ja auch die Seriennummer meines Handys auf der Stirn tätowiert habe. Sicher ist WhatsApp nicht der Hort der IT Sicherheit aber ich denke es gibt wichtigere Baustellen. Denn wenn die behoben wären könnte whatsapp auch alles im Klartext senden, es würde eh nicht mehr wirken. Und wer Passwörter oder ähnliches per Whatsapp verschickt... ...dem ist eh nicht mehr zu helfen.
2. Danke ...
hyperlord1337 29.11.2012
... aber ich lese heise online. Arbeiten Sie für beide Online Redaktionen? Dort bekommt man ja mittlerweile auch Infos darüber, was die Spiegel Group so alles plant. Wer schreibt bei wem ab?
3. Ist ja dramatisch...
Gort 29.11.2012
Wie soll denn bitte ein Unbefugter an die Seriennummer des Handys kommen? Was soll diese Panikmache?
4. Alternativen gibt es genug
sorentino 29.11.2012
Ich benutze Kakaotalk damit ist auch kostenlos telefonieren möglich. 100% Sicherheit gibt es nicht, aber man kann es denen zumindest schwer machen WhatsApp Alternativen: Mobil und sicher mit Freunden chatten - Eins.FM: Internetradio mit Chart- und Netzmusik (http://www.eins.fm/2012/09/20/whatsapp-alternativen-mobil-und-sicher-mit-freunden-chatten/)
5. Sms
mehmetyildirim88 29.11.2012
Ich verstehe sowieso nicht, wieso so viele Leute WhatsApp benutzen. Mittlerweile werden einem SMS-Flatrates hinterhergeschmissen. Und auditives bzw. visuelles Material kann man notfalls immer noch per Mail schicken...
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Apps
RSS
alles zum Thema Smartphones
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 43 Kommentare
  • Zur Startseite
Zum Autor
  • Richard Meusers schreibt als Autor für SPIEGEL ONLINE über die Digitalisierung.
Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.




E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.