Bei WhatsApp können Datenschnüffler leicht Nachrichten unter fremdem Namen
verschicken und empfangen. Der beliebte SMS-Ersatz WhatsApp lässt sich mit Hilfe frei zugänglicher Tools
leicht kapern, wie ein Test von heise Security ergab. Wer WhatsApp in einem
öffentlichen WLAN nutzt, riskiert, dass Datenschnüffler den Account zum Senden
und Empfangen von Nachrichten missbrauchen. Ist der Account einmal geknackt,
kann man ihn nicht mehr absichern. Der Schnüffler kann ihn fortan beliebig
nutzen.
Im Laufe der Woche zeichnete sich bereits ab, dass die
Authentifizierung bei WhatsApp nicht sehr sicher ist: Forscher fanden heraus,
dass der Client zur Anmeldung am Server ein selbstgeneriertes Passwort nutzt,
das bei Android aus der Seriennummer (IMEI) des
Smartphones und bei iOS aus der MAC-Adresse
der WLAN-Schnittstelle erzeugt wird. Das
Problem hierbei ist, dass diese Daten alles andere als geheim sind: die IMEI
des Android-Smartphones steht oft auf dessen Rückseite und lässt sich auch per
Tastenkombination oder App auslesen.
Die Rufnummer des WhatsApp-Nutzers wird im Klartext übertragen. Bei
iOS-Nutzern haben Datenschnüffler noch leichteres Spiel: Die MAC-Adresse sieht
bei der WLAN-Nutzung jedermann in Reichweite des Funknetzwerks. Ist das WLAN
öffentlich, wie etwa der Hotspot im Lieblings Café, kann der Schnüffler anhand
der von WhatsApp übertragenen Datenpakete auch noch die Rufnummer des Nutzers
herausfinden und dessen Account kinderleicht übernehmen – ohne sein Opfer
überhaupt kennen zu müssen. Das ist umso unverständlicher, als dass es ja
bereits ein personalisiertes gemeinsames Geheimnis zwischen WhatsApp und dem
Nutzer gibt: den bei der Anmeldung via SMS verschickten Bestätigungscode.
Mit Hilfe der WhatsAPI gelang es uns, einen
Test-Account zu kapern.
In unserem Test konnten wir sowohl die
Accounts von Android- als auch von iOS-Nutzern mit Hilfe der PHP-basierten
WhatsApp-API WhatsApp benutzen. Und das war erschreckend
einfach: Wir mussten lediglich Rufnummer und MAC-Adresse bzw. IMEI in ein
mitgeliefertes Skript eintragen und konnten anschließend über die
Eingabeaufforderung beliebige Nachrichten in dessen Namen verschicken. Absender
war stets die Rufnummer des kompromittierten Accounts.
Das Skript bietet darüber hinaus einen
Konversationsmodus, über den wir Nachrichten sowohl senden als auch empfangen
konnten. Die verschickten Nachrichten tauchten nicht auf dem Smartphone des Account-Besitzers
auf. Auch die eingehenden Antworten empfängt er nicht, solange das Skript
läuft.
Unser Experiment zeigt, dass man WhatsApp derzeit nur
mit Vorsicht benutzen sollte. iPhone-Anwender sollten den Dienst nicht in
öffentlichen Netzen benutzen, um es Datenschnüfflern nicht unnötig leicht zu
machen. Davor, dass Personen aus dem unmittelbaren Umfeld, etwa Kollegen, den
Account übernehmen, kann man sich freilich nicht schützen – in der Regel kommen
diese sowohl an die Handynummer als auch die IMEI respektive MAC-Adresse.
Wurde der Account übernommen, ist man ausgeliefert; es
gibt derzeit keine Möglichkeit, das Passwort zu ändern und den Datenschnüffler
dadurch auszusperren. Jetzt liegt es an WhatsApp, seine Nutzer zu schützen.
Im Übrigen gibt es inzwischen auch
Hinweise darauf, dass WhatsApp auch bei der Erzeugung der Schlüssel für die
Verschlüsselung der Nachrichten geschlampt hat. So behauptet eine anonyme,
bislang unbestätigte Analyse, dass
sich der Schlüssel zumindest bei der iOS-Version leicht ermitteln lässt.
Keine Kommentare:
Kommentar veröffentlichen