Sicherheit und WhatsApp – ein Update

comments 2
Uncategorized

Ich habe Ende September kurz dargestellt, dass und wie es möglich ist, WhatsApp so zu hacken, dass man Zugriff auf die Daten anderer User erhält und in ihrem Namen Nachrichten verschicken und empfangen kann. Die neue Version von WhatsApp hat diese Lücke beseitigt.

Wie Heise heute berichtet, ist es aber mit einem recht einfachen Skript immer noch möglich, sich diesen Zugriff zu verschaffen:

Für die Account-Übernahme benötigten wir lediglich die Handynummer des Nutzers und die Seriennummer (IMEI) seines Smartphones – das sind beides Informationen, an die man leicht herankommt. Das eingesetzte Skript hat uns ein Leser zur Verfügung gestellt. Es generiert aus der IMEI das zur Anmeldung am WhatsApp-Server nötige Passwort.

Heise hat WhatsApp angeboten, bei der Lösung des Problems behilflich zu sein, aber bisher keine Antwort erhalten. Es ist also davon auszugehen, dass Kommunikation über WhatsApp nicht sicher ist, wie der Screenshot von Heise illustriert:

Screenshot, Quelle: Heise.

 

The Author

philippe-wampfler.ch

2 Comments

  1. An der eigentlichen Schwachstelle der Applikation hat sich seit meinen Post (http://www.wnstnsmth.net/blog/2012/09/whats-up-with-whatsapp-a-summary-of-the-recent-security-flaws-for-the-ignorant-user) nicht wirklich viel geändert. Nach wie vor wird die IMEI oder eben die MAC-Adresse (bei iPhones) als Passwort verwendet. Das einzige, das sich wahrscheinlich geändert hat, sind die Steuerzeichen im Kommunikationsprotokoll mit dem WhatsApp-Server. Hier musste nur einer (wahrscheinlich der findige Leser, von dessen Skript die Rede ist), herumprobieren und irgendwann kriegte er dann eine valide Antwort vom Server zurück.

    • Danke für diese Erklärung. Ich denke auch, dass das grundlegende Problem in der Architektur ist und nicht leicht behoben werden kann, weshalb die Verantwortlichen auch zu zurückhaltend sind.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s