Beiträge

WhatsApp · Webseite demons­triert Sicherheitslücke

Erst vor kurzem hat WhatsApp eine Sicher­heitslücke geschlossen, über jene man Nachrichten im WLAN ganz einfach mitlesen konnte. Kurz darauf gab es die nächste Meldung, die meiner Meinung nach viel schwer­wie­gender ist: Denn WhatsApp setzt auf eine umgewandelte Form des Protokolls XMPP (Extensible Messaging and Presence Protocol) und benutzt dabei jedoch eine „ungünstige“ Form der Authen­ti­fi­kation; IMEI/MAC-Adresse des Gerätes und die Telefon­nummer werden auf den Servern gespeichert und ermög­lichen so das erkennen der Nutzer.

Besitzt man nun also beide Daten des „Opfers“, kann man sich schnell und einfach selbst einen Webclienten basteln und unter falschem Namen Nachrichten verschicken. Genau das demons­triert die Webseite WhatsApp Web Client der Firma FILSH Media GmbH aus Essen.

Einmal aufgerufen, kann man hier die MAC-Adresse (iPhone) bezie­hungsweise IMEI (Android) und die Telefon­nummer eingeben und schon ist man eingeloggt. Während man recht einfach an die Telefon­nummer gelangen sollte, reicht auch für die MAC-Adresse und IMEI ein kurzer, unbeob­achteter Moment. Nun kann man ganz einfach Nachrichten unter falschem Namen versenden:

Nach der Sache mit den mitzu­le­senden Nachrichten nun also eine Sicher­heitslücke die meiner Meinung nach viel schwerer wiegt. Eine Stellungnahme der WhatsApp-Macher fehlt bisher – eigentlich schade, denn so wie es derzeit ausschaut, kann man eigentlich nur jedem von der Nutzung abraten. Und das, obwohl diese Lücke eigentlich mit einer simplen Verschlüs­selung von MAC-Adresse/IMEI und Telefon­nummer geschlossen werden könnte…

Geschrieben von

Marcelismus. Hobby-Blogger aus dem Rheinland in den besten 20er Jahren. Appletisiert, aber immer mit einem gesunden Blick über den googlefizierten Tellerrand. Fetischist schicker User Interfaces und Fan von Dingen, die oftmals keinen Nutzen haben, die aber blau leuchten können.

AppsiOSAndroidMobileMessengerWhatsApp

0 Kommentare