 |
# taz.de -- Sicherheitslücken bei WhatsApp: Löchrige Kommunikation |
|
|
|
> Beim Versuch besonders einfach zu bleiben, ist der SMS-Ersatz WhatsApp |
|
> auch besonders unsicher geraten. Kaum ist eine Lücke geschlossen, tut |
|
> sich die nächste auf. |
|
|
 |
Bild: What's up, WhatsApp? Keine Antwort. |
|
|
|
KÖLN taz | Die Kommunikation mit der Außenwelt haben die Macher von |
|
WhatsApp weitgehend eingestellt. Die Firma, zu deren Leidenschaften laut |
|
Unternehmensdarstellung die Kommunikation gehört, hat auf ihrer |
|
Unternehmenswebseite kaum etwas Neues zu berichten. Die letzte Meldung im |
|
Unternehmensblog stammt vom Juni, auf Twitter werden nur ab und an |
|
Statusmeldungen veröffentlicht. |
|
|
|
Dabei gäbe es viel zu bereden. Seit im September bekannt wurde, dass es |
|
sehr einfach war, fremde Accounts zu übernehmen, machen sich viele Nutzer |
|
Gedanken über die Sicherheit des Dienstes. Doch das Unternehmen, das |
|
täglich über 10 Milliarden Nachrichten für seine Kunden verschickt, hielt |
|
es nicht nötig, seine Nutzer zu informieren. Dabei [1][war die Lücke |
|
enorm]: Wer wollte, konnte einfach auf einer Webseite den Account eines |
|
anderen WhatsApp-Nutzers übernehmen, in dessen Namen Nachrichten |
|
verschicken. |
|
|
|
Dem Dienst kam eine seiner größten Stärken in die Quere: WhatsApp ist auf |
|
Einfachheit fixiert. Nutzer müssen nicht mal ein Passwort eingeben oder |
|
ihre Kommunikationspartner hinzufügen – einmal installiert, lädt das |
|
Programm das Adressbuch des Smartphones auf die Server von Whatsapp hoch |
|
und identifiziert die Nutzer, die ebenfalls die Anwendung installiert |
|
haben. Folge: Sofort kann der Nutzer Kurznachrichten an seine Freunde und |
|
Bekannten senden. |
|
|
|
Doch die Einfachheit hat eine Kehrseite. WhatsApp hat die |
|
Nachrichtenübermittlung nicht neu erfunden, sondern setzt auf die bewährte |
|
XMPP-Technik, die zum Beispiel auch Google für seine Messenger-Dienste |
|
einsetzt. Wer sich mit einem gewöhnlichen Chat-Programm bei den |
|
WhatsApp-Servern mit Handynummer und Passwort ausweist, kann einen Account |
|
übernehmen. Doch da der Nutzer gar kein Passwort gesetzt hat, berechnet das |
|
Programm kurzerhand einen Schlüssel aus der Handynummer und der |
|
IMEI-Nummer, die jedes Handy eindeutig ausweist. |
|
|
|
Doch diese Nummer ist relativ einfach auszulesen: Bei vielen Handys reicht |
|
es, den Code *#06# in die Telefontastatur einzugeben und die IMEI wird |
|
angezeigt. Auch App-Entwickler können die IMEI eines Smartphones abrufen. |
|
Ist diese Nummer einmal bekannt, hat ein potenzieller Angreifer alle |
|
Möglichkeiten, den WhatsApp-Account des Besitzers zu übernehmen. |
|
|
|
Daran wird sich wohl so schnell nichts ändern. Zwar hatte der Dienst in |
|
einem Update im Oktober heimlich die Einlog-Prozedur so verändert, dass |
|
frühere Übernahmemethoden nicht mehr klappten, aber [2][wie Heise Security |
|
berichtet], wurde nun eine neue Methode bekannt, wie sich fremde Accounts |
|
übernehmen lassen. |
|
|
|
## Keine Antwort für Journalisten |
|
|
|
Als die Journalisten WhatsApp von der Lücke informierten, ließ das |
|
Unternehmen die Redaktion mehrere Tage im Unklaren, ob die Botschaft |
|
überhaupt angekommen war. Wann das Problem gelöst werden soll, verrät |
|
WhatsApp nicht. „Wenn man Revue passieren lässt, wie WhatsApp bislang mit |
|
dem Thema Sicherheit umgegangen ist, kann man eigentlich nur noch von der |
|
Nutzung des Dienstes abraten“, schreibt Heise Security. |
|
|
|
Für WhatsApp kommen die Berichte über Sicherheitslücken ungelegen. Bei |
|
vielen Nutzern erscheint mittlerweile die Nachricht, dass der kostenlose |
|
Nutzungszeitraum abgelaufen sei und nun eine Jahresgebühr von 99 US-Cent |
|
fällig sei. Da der Dienst werbefrei ist, ist dies die einzige |
|
Einnahmequelle. Wer WhatsApp jedoch kein Geld überweist, bekommt in der |
|
Regel kurz vor Ablauf der Frist eine kostenlose Verlängerung. WhatsApp lebt |
|
davon, dass möglichst viele Nutzer über den Dienst erreichbar sind – würden |
|
plötzlich Millionen Nicht-Zahlungswilliger verschwinden, würde der Dienst |
|
deutlich unattraktiver. |
|
|
|
WhatsApp ist nicht der einzige Chat-Dienst mit Sicherheitsproblemen. So war |
|
auch bei Skype über Monate eine Accountübernahme [3][relativ einfach |
|
möglich]. Doch als die Lücke Mitte November bekannt wurde, hat das nun zu |
|
Microsoft gehörende Unternehmen die entsprechenden Einlog-Prozeduren |
|
geändert und zumindest die Presse informiert. |
|
|
|
30 Nov 2012 |
|
|
|
## LINKS |
|
|
 |
[1] /SMS-Ersatz-und-Datenschutz/!101896/ |
|
[2] http://www.heise.de/newsticker/meldung/Erneut-Account-Klau-bei-WhatsApp-moe… |
|
[3] http://www.heise.de/security/meldung/Account-Klau-bei-Skype-leichtgemacht-1… |
|
|
|
## AUTOREN |
|
|
|
Torsten Kleinz |
|
|
|
## TAGS |
|
|
|
|
|
Smartphone |
|
Sicherheitslücken |
|
Pr |
|
Skype |
|
Datenschutz |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
10 Jahre Skype: „Hörst Du mich?“ |
|
|
|
Skype wird zehn Jahre alt. Millionen Menschen telefonieren über den |
|
Computer miteinander – und fluchen über die Verbindungsqualität. |
|
|
|
Sicherheitsrisiko Smartphone: Die Furcht vor den Apps |
|
|
|
Nutzer wünschen sich „saubere“ Apps, Unternehmen viele Daten. |
|
Verbraucherministerin Aigner reagiert nur sehr verhalten auf |
|
Datenschutzbedenken. |
|
|
|
SMS-Ersatz und Datenschutz: Sicherheitslücken bei WhatsApp |
|
|
|
Mit WhatsApp werden kostenlos Milliarden von SMS verschickt. Doch bei der |
|
Anwendung für Handy-Betriebssysteme gibt es Mängel. |
|
|
|
Smartphone-Software „Joyn“: Herz-Lungenmaschine für die SMS |
|
|
|
Die Mobilfunkanbieter verlieren Geld, weil immer mehr Nutzer statt |
|
überteuerter SMS billige Kommunikationsdienste wie iMessage oder WhatsApp |
|
nutzen. Nun kommt der Gegenschlag. |
