WhatsApp · Webseite demons­triert Sicher­heits­lücke

Am 23.09.2012 veröffentlicht Lesezeit etwa 0:56 Minuten

Erst vor kurzem hat WhatsApp eine Sicher­heits­lücke geschlossen, über jene man Nachrichten im WLAN ganz einfach mitlesen konnte. Kurz darauf gab es die nächste Meldung, die meiner Meinung nach viel schwer­wie­gender ist: Denn WhatsApp setzt auf eine umgewan­delte Form des Proto­kolls XMPP (Exten­sible Messaging and Presence Protocol) und benutzt dabei jedoch eine "ungünstige" Form der Authen­ti­fi­kation; IMEI/MAC-Adresse des Gerätes und die Telefon­nummer werden auf den Servern gespei­chert und ermög­lichen so das erkennen der Nutzer. 

Besitzt man nun also beide Daten des "Opfers", kann man sich schnell und einfach selbst einen Webcli­enten basteln und unter falschem Namen Nachrichten verschicken. Genau das demons­triert die Webseite WhatsApp Web Client der Firma FILSH Media GmbH aus Essen. 

Einmal aufge­rufen, kann man hier die MAC-Adresse (iPhone) bezie­hungs­weise IMEI (Android) und die Telefon­nummer eingeben und schon ist man einge­loggt. Während man recht einfach an die Telefon­nummer gelangen sollte, reicht auch für die MAC-Adresse und IMEI ein kurzer, unbeob­ach­teter Moment. Nun kann man ganz einfach Nachrichten unter falschem Namen versenden: 

Nach der Sache mit den mitzu­le­senden Nachrichten nun also eine Sicher­heits­lücke die meiner Meinung nach viel schwerer wiegt. Eine Stellung­nahme der WhatsApp-Macher fehlt bisher – eigentlich schade, denn so wie es derzeit ausschaut, kann man eigentlich nur jedem von der Nutzung abraten. Und das, obwohl diese Lücke eigentlich mit einer simplen Verschlüs­selung von MAC-Adresse/IMEI und Telefon­nummer geschlossen werden könnte…