SMS-Ersatz Sicherheitslücke bringt WhatsApp in Verruf

Der SMS-Ersatz WhatsApp macht schon wieder Schlagzeilen wegen einer gravierenden Sicherheitslücke. Nutzerkonten lassen sich auch in der neuen Version der App ohne große Probleme kapern: Die Seriennummer eines Smartphones reicht aus, um sich den darauf installierten Account zu schnappen.
WhatsApp-Icon: Experten raten von der Nutzung des beliebten Nachrichten-Dienstes ab

WhatsApp-Icon: Experten raten von der Nutzung des beliebten Nachrichten-Dienstes ab

Foto: dapd

Gerade einmal zwei Monate ist es her, dass Sicherheitsexperten vor dem populären SMS-Ersatz WhatsApp warnten. Die Software wies eine schwere Sicherheitslücke auf. Angreifer konnten sich auf Smartphones Zugang zum Programm verschaffen; dazu benötigten sie lediglich bei iOS-Geräten deren MAC-Adresse und bei Android-Handys deren Seriennummer (IMEI). Diese Daten genügten, um automatisch das Anmeldepasswort für den WhatsApp-Server zu erzeugen. Die WhatsApp-Macher versprachen Besserung, mit der Programmversion 2.8.7326 der Nachrichten-App sollte das Problem eigentlich behoben sein.

Doch nun berichtet "heise Security", schon wieder sei es möglich, ein WhatsApp-Profil ohne besondere Umstände zu übernehmen. Die Vorgehensweise soll dem Bericht zufolge dem im September entdeckten Prozedere sehr ähnlich sein. Für einen erfolgreichen Angriff wird demnach nur die Seriennummer des Handys benötigt und zusätzlich die Handynummer. Ein spezielles Skript, das "heise Security" von einem Leser zur Verfügung gestellt worden sei, generiere das vom WhatsApp-Server geforderte Passwort .

Dieses für Android-Smartphones ausgelegte Verfahren funktioniere jedoch ebenfalls für Geräte mit anderen Betriebssystemen. Ein Test habe ergeben, dass auch iOS-Geräte nicht sicher seien, sondern die Übernahme des WhatsApp-Profils ermöglichten.

Lieber wieder SMS verschicken

Laut "heise" geben die in Kalifornien ansässigen Betreiber des Dienstes keinerlei Informationen über den aktuellen Stand der Sicherheitsbemühungen. Obwohl WhatsApp Inc. Bereits vor Tagen über das Leck informiert worden sei, habe das Unternehmen lediglich beantwortet, welche App-Version betroffen sei - und sonst nichts von sich hören lassen. Selbst das Angebot, sämtliche Details über die Kapermöglichkeit inklusive des dafür genutzten Scripts zur Verfügung zu stellen, sei ohne Reaktion geblieben. Eine Haltung, die für "heise" unter dem Motto "Security through Obscurity" (etwa: Sicherheit durch Verschwiegenheit) steht.

Unterm Strich gelte ein eindeutiges Fazit: Angesichts der bisherigen Erfahrungen mit dem Umgang von WhatsApp mit dem Thema Sicherheit könne von der Nutzung nur abgeraten werden. Alternativen gebe es schließlich genug, von Skype über Facebook bis hin zur guten, alten SMS.

Mehr lesen über Verwandte Artikel