Beiträge

WhatsApp · Webseite demonstriert Sicherheitslücke

Erst vor kurzem hat WhatsApp eine Si­cher­heits­lücke ge­schlossen, über jene man Nach­richten im WLAN ganz ein­fach mit­lesen konnte. Kurz darauf gab es die nächste Mel­dung, die meiner Mei­nung nach viel schwer­wie­gender ist: Denn WhatsApp setzt auf eine um­ge­wan­delte Form des Pro­to­kolls XMPP (Ex­ten­sible Mes­sa­ging and Pre­sence Pro­tocol) und be­nutzt dabei je­doch eine “un­güns­tige” Form der Au­then­ti­fi­ka­tion; IMEI/MAC-Adresse des Ge­rätes und die Te­le­fon­nummer werden auf den Ser­vern ge­spei­chert und er­mög­li­chen so das er­kennen der Nutzer.

Be­sitzt man nun also beide Daten des “Op­fers”, kann man sich schnell und ein­fach selbst einen Web­cli­enten bas­teln und unter fal­schem Namen Nach­richten ver­schi­cken. Genau das de­mons­triert die Web­seite WhatsApp Web Client der Firma FILSH Media GmbH aus Essen.

Einmal auf­ge­rufen, kann man hier die MAC-Adresse (iPhone) be­zie­hungs­weise IMEI (An­droid) und die Te­le­fon­nummer ein­geben und schon ist man ein­ge­loggt. Wäh­rend man recht ein­fach an die Te­le­fon­nummer ge­langen sollte, reicht auch für die MAC-Adresse und IMEI ein kurzer, un­be­ob­ach­teter Mo­ment. Nun kann man ganz ein­fach Nach­richten unter fal­schem Namen versenden:

Nach der Sache mit den mit­zu­le­senden Nach­richten nun also eine Si­cher­heits­lücke die meiner Mei­nung nach viel schwerer wiegt. Eine Stel­lung­nahme der WhatsApp-Macher fehlt bisher – ei­gent­lich schade, denn so wie es der­zeit aus­schaut, kann man ei­gent­lich nur jedem von der Nut­zung ab­raten. Und das, ob­wohl diese Lücke ei­gent­lich mit einer sim­plen Ver­schlüs­se­lung von MAC-Adresse/IMEI und Te­le­fon­nummer ge­schlossen werden könnte…

Geschrieben von

Marcelismus. Hobby-Blogger aus dem Rheinland in den besten 20er Jahren. Appletisiert, aber immer mit einem gesunden Blick über den googlefizierten Tellerrand. Fetischist schicker User Interfaces und Fan von Dingen, die oftmals keinen Nutzen haben, die aber blau leuchten können.

AppsiOSAndroidMobileMessengerWhatsApp

0 Kommentare