Webseite erlaubt Whatsapp-Nachrichten im Namen anderer

[Christoph]

Zitat:

Die Kurznachrichten-Anwendung Whatsapp ist nicht sicher. Es reichen wenige, leicht zu beschaffende Informationen und schon kann jeder im Namen eines anderes Nachrichten abschicken. Eine Webanwendung vereinfacht Angriffe auf Nutzer des Dienstes, die ihr Passwort oft unbewusst an andere schicken.

Die Kurznachrichten-Anwendung Whatsapp ist schön einfach in der Handhabung, dafür aber auch unsicher. Wie einfach es ist einen Account zu übernehmen zeigt nun eine neue Web-Anwendung. Sascha Gehlich hat eine Anwendung geschrieben, die sich die bereits bekannten Schwachstellen von Whatsapp zu nutze macht. Bereits in der letzten Woche ist es Heise Security gelungen mit einfachen Skripten Whatsapp-Zugänge zu übernehmen. Es genügen wenige Informationen eines Opfers, um sich beim Nachrichtendienst anzumelden.
Administratoren wissen teilweise Whatsapp-Passwörter

Die Webanwendung braucht nichts weiter als die Telefonnummer des Opfers sowie entweder die IMEI oder einfach die MAC-Adresse des WLAN-Moduls. Letzteres ist ohne weiteres herauszufinden und betrifft iPhone-Nutzer. Die MAC-Adresse dient Whatsapp sozusagen als vorgegebenes und unveränderbares Passwort. Sie ist dabei einem recht großen Nutzerkreis grundsätzlich bekannt. Der Administrator eines WLANs kann in der Regel sehen, welche Geräte sich angemeldet haben. Diese werden über die Mac-Adresse identifiziert. Aber auch normale Nutzer mit der völlig legitimen Netzwerk-Anwendung Fing, die wir in unseren Werkzeugkasten aufgenommen haben, können plötzlich Passwörter einsammeln.

Die IMEI zu erlangen ist mitunter noch einfacher. Bei einigen Smartphones ist das Pseudo-Passwort praktischerweise auf der Rückseite aufgedruckt. Aber auch hier gibt es alternative Wege im System, um an dieses feste Passwort zu gelangen. Sowohl MAC-Adresse als auch IMEI sind weltweit eindeutig. Nur wenige Geräte erlauben eine Änderung dieser Daten. Warum die Whatsapp-Entwickler fest vorgegebene Informationen als Passwörter nutzen ist bisher unbekannt.

Mit diesen Informationen kann jeder nun auf der Whatsapp-Webapp sich als andere Person ausgeben und beispielsweise verunglimpfende Nachrichten verschicken. Im Interview mit Gulli.com gibt Gehlich an, dass er mehrmals beim Schreiben der Webanwendung mit dem Kopf schütteln musste. Zu offensichtlich sind die Sicherheitslücken für ihn gewesen. Es ist prinzipiell sogar möglich, dass das Opfer gar nicht bemerkt, dass ein anderer Nachrichten verschickt.

Das Webwerkzeug hat aber einen Nachteil. So kann es sich nicht anmelden, wenn ein anderer Whatsappclient aktiv ist. Bei einem Test von uns wurde die Verbindung getrennt, sobald das Original-Smartphone wieder Kontakt mit dem Whatsapp-Server aufgenommen hat. Das ist allerdings kein wirksamer Schutz. Den gibt es derzeit nicht, denn ein einfaches Entfernen der Smartphone-App schützt vor Angriffen nicht und ob das Löschen des Whatsapp-Zugangs verhindert, dass ein Angreifer sich einfach wieder neu anmeldet, haben wir nicht ausprobiert. Wer befürchtet ein Opfer einer solchen Attacke zu werden kann nur durch das Informieren seines Bekanntenkreises darauf aufmerksam mache, dass das Risiko besteht. Außerdem sollte sich jeder bewusst werden, dass Nachrichten über Whatsapp nicht unbedingt der Wahrheit entsprechen.
Whatsapp informiert seine Nutzer nicht

Das Unternehmen zeigt leider keinerlei Transparenz. Im Firmenblog gibt es beispielsweise noch immer keinerlei Informationen zu den Sicherheitslücken. Auch in sozialen Netzwerken schweigt das Unternehmen. Dabei wäre es auf der offiziellen Facebook-Seite ein leichtes immerhin 1,4 Millionen Fans zu benachrichtigen.

Derweil versucht das Whatsapp-Team die eigene besonders schlechte Programmierung mit Anwälten auszugleichen. Die Macher der venomous0x-WhatsAPI haben offensichtlich auf anwaltlichen Druck hin den Quellcode der API heruntergenommen. Darauf basiert das Webtool von Gehlich.

Whatsapp hat immerhin auf eine ältere Sicherheitslücke reagiert. So gibt es beispielsweise seit der Version 2.8.3 für iOS nun verschlüsselte Kommunikation. Eigentlich ist das selbstverständlich für Nachrichten, die über ein WLAN verschickt werden können. Whatsapp preist das als neue Funktion an. Ein Hinweis darauf, dass die Kommunikation von Teilnehmern, beispielsweise in einem Firmennetzwerk ohne Client Isolation oder gar einem offenen WLAN, von jedem mitgelesen werden konnte, gab es nicht.

Quelle: http://www.golem.de/news/sicherheits...209-94741.html

[coraline]

Wow, das ist heftig.. Hab mir da bisher gar keine so großen Gedanken drüber gemacht, aber insbesondere in den letzten Wochen liest man immer mehr negatives über Whatsapp, so dass ich es auf meinem Smartphone mittlerweile deinstalliert habe!

[ricco454]

Wow, ich bin geschockt. Hab es gott sei dank auch vor langer Zeit deinstalliert.
Gibt ja gute Alternativen wie KAKAOTalk. Da bin ich froh; da hab ich meine Sicherheit ;-)

[Tautatis]

Zitat:

Zitat von ricco454

Gibt ja gute Alternativen wie KAKAOTalk. Da bin ich froh; da hab ich meine Sicherheit ;-)

Wie ist es denn mit diesem Kakaotalk? Hat da jemand eine Ahnung? Sicherheit, Verbreitung, etc.? Kenne niemanden, der das benutzt...

[Christoph]

Schon mal Google befragt?

[ricco454]

Zitat:

Zitat von Tautatis

Wie ist es denn mit diesem Kakaotalk? Hat da jemand eine Ahnung? Sicherheit, Verbreitung, etc.? Kenne niemanden, der das benutzt...

Ich kann dir sonst auch antworten ;-)
Bei mir wars leider so, dass kaum jemand aus meinem Umfeld diese App kannte (wie du sagst), und ich sie erst ersuchen musste diese sich zu downloaden .g.
So konnte ich sie in meinem Umfeld verbreiten
Im Internet steht, dass die Benutzerzahlen nahezu identisch (im vgl. mit WhatsApp) sind....
Sicherer scheint sie mir auf jeden Fall, findet man auch viel im Netz!

lG

[Tautatis]

Zitat:

Zitat von Christoph

Schon mal Google befragt?

Vielleicht sollte man keine Fragen mehr in Foren stellen: Steht ja eigentlich eh alles auf google, nicht?

Zitat:

Zitat von ricco454

Ich kann dir sonst auch antworten ;-) Sicherer scheint sie mir auf jeden Fall, findet man auch viel im Netz!

Danke für deine Antwort! Das Problem ist ja oft, dass man erst dann liest, ob etwas sicher ist oder nicht, wenns jemand ausprobiert hat.. Bei Whatsapp mussten sich auch erstmal welche das Ziel setzen das Programm zu knacken und das hat auch einen Moment gedauert..

"*Mitteilungen sind sicher! -Wir schützen deine Privatsphäre. Deine Chat-Daten werden aus Sicherheitsgründen vollständig verschlüsselt."

Das hab ich in der Beschreibung gefunden. Aber Whatsapp verschlüsselt ja die Chatdaten jetzt auch und ist trotzdem nicht sicher, oder?

[ANOther]

naja, "sicher" ist IMHO relativ....

mal ganz ehlich:
1) wer kennt DEINE mac und die nummer dazu?
2) wer kennt deine IMEI ind die mummer dazu?

1): der Admin deiner Firma, deren handy du verwendest. aber, wenn man bedenkt, was dir der admin deiner firma alles antun kann, wenn er dich nicht mag, dann ist das versenden von nachrichten genau dein kleinstes problem

2): dein handyanbieter. auch dieser hat IDR besseres zu tun, als aus n nummern 1 imei und die passende rufnummer rauszusuchen und dann noch nachrichtn zu senden.
ohne pöhse zu denken, dein anbieter könnte auch deine rufnummer auf eine weitere sim routen und von dort normale sms versenden, in deinem namen...

die dache mit denverschlüsselten daten ist eine weitere: wirkliche geheimnisse werden idr nicht ausgetauscht werden, also stellt sich die frage nach dem sinn des abhörens...

btw: dass gsm "abhörbar" ist ist eh bekannt, oder?