WhatsApp · Webseite demonstriert Sicherheitslücke

Erst vor kurzem hat WhatsApp eine Sicherheitslücke geschlossen, über jene man Nachrichten im WLAN ganz einfach mitlesen konnte. Kurz darauf gab es die nächste Meldung, die meiner Meinung nach viel schwerwiegender ist: Denn WhatsApp setzt auf eine umgewandelte Form des Protokolls XMPP (Extensible Messaging and Presence Protocol) und benutzt dabei jedoch eine “ungünstige” Form der Authentifikation; IMEI/MAC-Adresse des Gerätes und die Telefonnummer werden auf den Servern gespeichert und ermöglichen so das erkennen der Nutzer.

Besitzt man nun also beide Daten des “Opfers”, kann man sich schnell und einfach selbst einen Webclienten basteln und unter falschem Namen Nachrichten verschicken. Genau das demonstriert die Webseite WhatsApp Web Client der Firma FILSH Media GmbH aus Essen.

Einmal aufgerufen, kann man hier die MAC-Adresse (iPhone) beziehungsweise IMEI (Android) und die Telefonnummer eingeben und schon ist man eingeloggt. Während man recht einfach an die Telefonnummer gelangen sollte, reicht auch für die MAC-Adresse und IMEI ein kurzer, unbeobachteter Moment. Nun kann man ganz einfach Nachrichten unter falschem Namen versenden:

Nach der Sache mit den mitzulesenden Nachrichten nun also eine Sicherheitslücke die meiner Meinung nach viel schwerer wiegt. Eine Stellungnahme der WhatsApp-Macher fehlt bisher – eigentlich schade, denn so wie es derzeit ausschaut, kann man eigentlich nur jedem von der Nutzung abraten. Und das, obwohl diese Lücke eigentlich mit einer simplen Verschlüsselung von MAC-Adresse/IMEI und Telefonnummer geschlossen werden könnte…

Geschrieben von

Marcelismus. Hobby-Blogger aus dem Rheinland in den besten 20er Jahren. Appletisiert, aber immer mit einem gesunden Blick über den googlefizierten Tellerrand. Fetischist schicker User Interfaces und Fan von Dingen, die oftmals keinen Nutzen haben, die aber blau leuchten können.