SMS-Ersatz Sicherheitsexperten warnen vor WhatsApp

Mehr als eine Milliarde Nachrichten werden mit dem SMS-Ersatz WhatsApp täglich verschickt, jetzt warnen Experten: Die App ist nur unzureichend geschützt. Fremde können die Accounts sehr leicht übernehmen - und ein einmal gekaperter Zugang lässt sich nicht mehr retten.
WhatsApp-App auf dem iPhone: Mit einfachen Mitteln Accounts übernehmen

WhatsApp-App auf dem iPhone: Mit einfachen Mitteln Accounts übernehmen

Foto: Whatsapp Inc

Kein Zweifel: Die Smartphone-App WhatsApp ist populär. 2,1 Millionen Mal klickten Facebook-Nutzer bislang den "Gefällt mir"-Knopf auf der Homepage des Herstellers. Pro Tag versenden Anwender eine Milliarde Nachrichten  mit der App, die für alle wichtigen Handy-Betriebssysteme erhältlich ist. Der Grund für den Erfolg: Mit WhatsApp kann man, wie bei SMS, Textnachrichten an Freunde und Bekannte verschicken, nur dass sie nichts kosten. Doch jetzt haben die Experten von "heise Security " herausgefunden, dass WhatsApp-Accounts schlecht geschützt sind: Die Konten lassen sich mit einfachen Mitteln übernehmen.

Kritik an der Sicherheit der WhatsApp-App hatte es schon zuvor gegeben, weil die Software die Nachrichtentexte unverschlüsselt zwischen den Nutzern hin und her geschickt hatte. Eine App namens WhatsApp Sniffer machte sich die Lücke zunutze und ermöglichte es jedermann, empfangene und verschickte WhatsApp-Nachrichten im gleichen Netzwerk mitzulesen. Als Reaktion auf die öffentliche Schelte hat der Hersteller im August begonnen, die Texte zu verschlüsseln, ohne zu erklären, welche Verschlüsselungstechnik dabei zum Einsatz kommt.

Sicher ist die App deswegen aber noch nicht. Einem Test von "heise Security" zufolge lassen sich Accounts bei dem Messaging-Dienst mit frei zugänglicher Software übernehmen. Voraussetzung dafür sei, dass der jeweilige Anwender die App in einem öffentlichen W-Lan verwende. Möglich ist der Trick sowohl bei iPhones als auch bei Android-Handys.

Kontrollverlust

Die Grundlage des Angriffs sei, bei iOS-Geräten deren MAC-Adresse herauszufinden und bei Android-Handys deren Seriennummer (IMEI). Aus diesen Daten werde automatisch das Anmeldepasswort für den WhatsApp-Server erzeugt. Diese Angaben zu erlangen sei nicht sonderlich schwierig, erklärt "heise Security". So könne man die IMEI oft auf der Rückseite des Handys ablesen, während die MAC-Adresse in einem öffentlichen W-Lan leicht mitgelesen werden kann. IMEIs lassen sich in jedem Fall herausfinden, wenn man das betreffende Gerät einmal entsperrt in die Hand bekommt.

Mit diesen Daten ausgerüstet war die Übernahme eines Accounts mit Hilfe freier Software für die Experten offenbar ein Leichtes: "Wir mussten lediglich Rufnummer und MAC-Adresse bzw. IMEI in ein mitgeliefertes Skript eintragen und konnten anschließend über die Eingabeaufforderung beliebige Nachrichten in dessen Namen verschicken. Absender war stets die Rufnummer des kompromittierten Accounts."

WhatsApp-Anwender sind der Sicherheitslücke schutzlos ausgeliefert. Wer die App in einem offenen W-Lan nutzt, läuft stets Gefahr, die Kontrolle über seinen Account zu verlieren. Laut "heise Security" gibt es derzeit keine Möglichkeit, einen derart gekaperten Zugang selbst wieder abzudichten. Wer die App trotzdem verwenden will, tut deshalb gut daran, sie nur in gut geschützten (am besten per WPA2-Verschlüsselung ) Drahtlosnetzen zu benutzen.

mak