19.09.2012, 00:00 Uhr
WhatsApp: Immer noch leichte Beute für Schnüffler
Der SMS-Ersatz WhatsApp ist zwar sehr beliebt, aber offenbar auch noch immer sehr unsicher. Erst vor kurzem entschieden sich die Entwickler, wenigstens eine Verschlüsselungsfunktion einzubauen, damit die Nachrichten nicht mehr von Unbefugten mitgelesen werden können. Doch vergangene Woche stellte sich heraus, dass die Anmeldung beim Dienst nur mit einem sehr einfachen Verfahren abgesichert ist und sich daher leicht ausspionieren lässt.
Das haben Mitarbeiter von heise-online nun in einem weiteren Test bestätigt. Ihnen gelang es mit verhältnismässig geringem Aufwand, auf die WhatsApp-Accounts von Android- und iOS-Nutzern zuzugreifen. Sie übergaben dabei lediglich die MAC-Adresse (eindeutige Nummer des WLAN-Adapters im iPhone) beziehungsweise IMEI (eindeutige ID eines Android-Smartphones) sowie die Rufnummer an ein PHP-Script, das über die WhatsApp-API (Programmierschnittstelle) mit dem Dienst kommuniziert. Die MAC-Adresse des iPhones und seine Rufnummer lassen sich im WLAN über die abgefangenen Datenpaketen leicht ermitteln. Um die IMEI eines Android-Smartphones herauszufinden, müsste ein Angreifer das Gerät aber vorher mit eine Schnüffel-App bestücken.
Die Tester konnten dann beliebige Nachrichten im Namen des Account-Inhabers versenden. Als Absender tauchte dabei nur die Nummer des kompromittierten Accounts auf. Der Nachrichtenempfang war ebenfalls möglich. Das Beste daran: Auf dem Smartphone ist davon nichts zu sehen. Hier erscheinen weder die per PHP-Script gesendeten noch die empfangenen Nachrichten.
So schützen Sie sich
Bei der derzeitigen Sicherheitslage sollten Sie WhatsApp zumindest unter iOS nicht in öffentlichen Netzen verwenden. Gefahr droht aber auch bei Android-Geräten etwa in einem Firmen-Netzwerk, wenn ein neugieriger Kollege die IMEI des Smartphones kennt. (ph/com!)
Siehe auch: WhatsApp-Verschlüsselung angeblich leicht zu knacken, Gefälschte \"WhatsApp\"-App bei Facebook aufgetaucht, WhatsApp Sniffer: Spionage-Applikation in Google Play späht Unterhaltungen aus
Das haben Mitarbeiter von heise-online nun in einem weiteren Test bestätigt. Ihnen gelang es mit verhältnismässig geringem Aufwand, auf die WhatsApp-Accounts von Android- und iOS-Nutzern zuzugreifen. Sie übergaben dabei lediglich die MAC-Adresse (eindeutige Nummer des WLAN-Adapters im iPhone) beziehungsweise IMEI (eindeutige ID eines Android-Smartphones) sowie die Rufnummer an ein PHP-Script, das über die WhatsApp-API (Programmierschnittstelle) mit dem Dienst kommuniziert. Die MAC-Adresse des iPhones und seine Rufnummer lassen sich im WLAN über die abgefangenen Datenpaketen leicht ermitteln. Um die IMEI eines Android-Smartphones herauszufinden, müsste ein Angreifer das Gerät aber vorher mit eine Schnüffel-App bestücken.
Die Tester konnten dann beliebige Nachrichten im Namen des Account-Inhabers versenden. Als Absender tauchte dabei nur die Nummer des kompromittierten Accounts auf. Der Nachrichtenempfang war ebenfalls möglich. Das Beste daran: Auf dem Smartphone ist davon nichts zu sehen. Hier erscheinen weder die per PHP-Script gesendeten noch die empfangenen Nachrichten.
So schützen Sie sich
Bei der derzeitigen Sicherheitslage sollten Sie WhatsApp zumindest unter iOS nicht in öffentlichen Netzen verwenden. Gefahr droht aber auch bei Android-Geräten etwa in einem Firmen-Netzwerk, wenn ein neugieriger Kollege die IMEI des Smartphones kennt. (ph/com!)
Siehe auch: WhatsApp-Verschlüsselung angeblich leicht zu knacken, Gefälschte \"WhatsApp\"-App bei Facebook aufgetaucht, WhatsApp Sniffer: Spionage-Applikation in Google Play späht Unterhaltungen aus
