Handy & Smartphone Internetseite gewährt Zugriff auf fremde WhatsApp-Konten
News folgenMassive Sicherheitslücken in dem Kurznachrichtendienst WhatsApp sorgen für Wirbel. Wie der Programmierer Sascha Gehlich mit einer einfachen Internetseite gezeigt hat, lassen sich über WhatsApp Nachrichten unter den Namen Anderer verschicken. Wir erklären, wer die App auf Ihre Kosten missbrauchen könnte.
Wie gefährlich der Gebrauch von WhatsApp sein kann, zeigt Gehlich mit einer neuen Internetseite, die den Zugriff auf WhatsApp auch per Computer ermöglicht. Über ein Anmeldeformular kann sich jeder in den Dienst einloggen. Dazu benötigt er nur eine Mobilfunknummer und eine Gerätenummer zu dem entsprechenden Smartphone – im Falle eines Android-Handys ist dies die IMEI, bei einem iPhone die Mac-Adresse. WhatsApp vergibt die entsprechenden IMEI und Mac-Adressen automatisch als Nutzer-Passwörter – die Telefonnummer wird zum Benutzernamen. Das brisante an der Sache: Telefon- und Gerätenummern lassen sich auch leicht von Dritten einsehen, zumal WhatsApp die Zugangsdaten unverschlüsselt versendet und unverschlüsselt auf seinen Internet-Servern speichert. Identitätsdiebe haben mit WhatsApp-Nutzer so leichtes Spiel.
Unsichere Zugangsdaten für WhatsApp
Die notwendigen Informationen (IMEI/Mac-Adresse und Telefonnummer) um ein WhatsApp-Konto zu kapern, lassen sich leichter beschaffen als gedacht. Da der Kurznachrichtendienst die Zugangsinformationen unverschlüsselt auf seinen Internet-Servern speichert, können zum Beispiel System-Administratoren die Anmeldinformationen ungehindert einsehen. Darüber hinaus steht die IMEI zum Beispiel auf der Rückseite vieler Android-Smartphones. Die Mac-Adresse eines iPhones lässt sich mit kostenlosen und völlig legalen Netzwerkanwendungen wie Fing auslesen. Also ist es auch für Menschen aus dem Umfeld eines WhatsApp-Nutzers ein Leichtes Zugangsinformationen auszuspionieren. Wer Böses im Schilde führt, benötigt dann nur noch die Telefonnummer seines künftigen Opfers.
iPhone-Nutzer besonders anfällig
Zwar kommen als Identitätsdiebe vor allem jene in Frage, die Zugang zu den Internet-Servern von WhatsApp haben oder aus dem weiteren Bekanntenkreis eines potentiellen Opfers stammen. Heise Security zeigte in einem eigenen Test jedoch, dass sich die Zugangsdaten auch von völlig Fremden auslesen lassen. Mithilfe frei erhältlicher Tools können Angreifer neben der Mac-Adresse auch die Rufnummern per WLAN abgreifen. Dazu müssen sich die Identitätsdiebe lediglich in der Nähe eines ungesicherten Heim-WLANs oder eines offenem Funknetzwerkes – einem so genannten Hotspot – befinden. Allerdings betrifft diese Attacke nur WhatsApp-Nutzer mit einem iPhone. Die einzige Hürde die sich Angreifern in den Weg stellt ist, dass sich WhatsApp nicht von zwei Geräten zur selben Zeit aus Nutzen lässt. Meldet sich das Smartphone mit der Originalinstallation von WhatsApp an, fliegt der Betrüger raus.
Sicherheitslücke schon länger bekannt
IT-Experten sind über die Sicherheitslücke von WhatsApp besonders verärgert, denn die Schwachstelle ist schon seit Längerem bekannt. Reaktionen seitens der Hersteller blieben bisher dennoch aus. Darüber hinaus sorgte WhatsApp bereist vor wenigen Monaten für negative Schlagzeilen. Denn bis vor kurzem übermittelte der Dienst die Textnachrichten seiner Nutzer in unverschlüsselter Form. Mithilfe der App WhatsApp Sniffer konnten Schnüffler dies schamlos ausnutzen und fremde Nachrichten per WLAN in Echtzeit mitlesen.
Kein Schutz für WhatsApp-Nutzer
Einen wirksamen Schutz vor Identitätsdiebstahl steht WhatsApp-Nutzern derzeit nicht zur Verfügung. Möglicherweise könne sogar ein Entfernen der Smartphone-App oder das Löschen des WhatsApp-Zugangs Nutzer nicht vor Missbrauch schützen, bemerkt das Technik-Magazin Golem.de. Mit den entsprechenden Zugangsdaten könnte ein Angreifer das Konto einfach wieder aktivieren.
