Beliebter Messenger WhatsApp immer mehr in der Kritik

Geschrieben von

WhatsApp kann man als einen wahren Erfolg nennen, wenn das kleine Messenger-Tool auf Millionen Smartphones und Tablets installiert und genutzt wird. So erfolgreich, dass sich T-Mobile, Vodafone und o2 zusammen gesetzt haben, um mit Joyn einen ebenbürtigen Konkurrenten zu etablieren. Dem Herausforderer dürfte da die mangelnde Sicherheit bei WhatsApp ganz Recht kommen.

Denn nicht das erste Mal ist der beliebte Messenger-Dienst WhatsApp Ziel von Hackern geworden. Schon im Mai diesen Jahres verschafften sich Hacker Zugriff auf die Chats von WatsApp und das mit Hilfe einer zusätzlichen Spyware-App. Die Schwachstelle war die nicht vorhandene Verschlüsselung der Nachrichten, die mit dem letzten größeren Update endlich nachgereicht wurde. Nun steht der Dienst erneut in der Kritik, diesmal allerdings ist die Sache weitaus kritischer, denn die aktuelle Sicherheitslücke könnte sich noch sehr fatal auswirken. Und das dürfte die erfolgsverwöhnten Macher nach dem jüngsten Meilenstein weniger erfreuen.

Der WhatsApp-Client auf dem Smartphone authentifiziert sich beim Server mit einem Passwort, welches aus der Geräte-eigenen IMEI-Nummer spiegelverkehrt als MD5-Hash generiert wird. Der 1991 entwickelte MD5-Hash (Message-Digest Algorithm 5) gilt dabei schon lange nicht mehr als sicher, erst Recht nicht wenn der zusätzliche Salt nicht verwendet wird, wie es bei WhatsApp der Fall ist. Dieser zufällig generierte zusätzliche Klartext erschwert das knacken des MD5-Hashes ungemein, findet bei WhatsApp allerdings keine Anwendung. Wie fatal das ist, erklärt der Entwickler Sam Granger anhand von 4 Möglichkeiten, wie Hacker die WhatsApp-Authentifizierung austricksen können.

  1. Man lässt das eigene Smartphone kurz unbeobachtet auf dem Tisch liegen, schon kann jeder mittels des Telefoncodes *#06# sich die IMEI anzeigen lassen. Nun muss der Angreifer sich nur noch selbst anrufen und schon hat er neben der IMEI auch die Telefonnummer.
  2. Mittels Trojaner könnte sich der Angreifer IMEI und Telefonnummer im Hintergrund per eMail oder SMS schicken lassen. Die Malware könnte beispielsweise als Gratis-App getarnt werden oder als AddOn für WhatsApp.
  3. Der Angreifer knackt die Datenbank eines Drittanbieters, in der die eigene IMEI und Telefonnummer hinterlegt sind. Hier ist man selbst machtlos, das Einzige das hilft ist: Die IMEI und eigene Telefonnummer so selten wie möglich herausgeben.
  4. Der Angreifer kauft ganz simpel die Daten von einem App-Entwickler, der diese Daten durch die Rechte seiner App bekommen hat. Hier gilt also wieder: Imemr die angeforderten Rechte einer App anschauen und im Zweifelsfall auf die App verzichten oder Tools wie LBE Privacy Guard (Root!!!) einsetzen.
Die App konnte im App Store nicht gefunden werden. 🙁 #wpappbox

Links: → Store öffnen → Google-Suche
Antivirus & Sicherheit Lookout
[Quelle: Sam Granger | via PC Welt]

The following two tabs change content below.
Mann mit Bart und Faible für Smartphones und Tablets jeder Plattform, doch eindeutig bekennender Androidliebhaber.

Ein Kommentar

  1. Thorsten schreibt:

    Punkt 3 ist sehr klasse:

    „…Die IMEI und eigene Telefonnummer so selten wie möglich herausgeben….“

    Die eigene Telefonnummer so selten wie möglich rausgeben…das war auch der Grund, warum ich mir einen Mobilfunkvertrag geholt habe…
    😉

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*


226 Abfragen in 0,864 Sekunden