11.09.2012
Sicherheit
WhatsApp-Verschlüsselung leicht zu knacken
Autor: Thorsten Eggeling
Erst seit kurzem gibt es WhatsApp mit eingebauter Verschlüsselung. Nachrichten sollen sich in öffentlichen Netzen nicht mehr mitlesen lassen. Doch auch die Absicherung der Anmeldung hat offenbar einige Mängel.
WhatsApp ist ein beliebter Messenger, den viele Nutzer als SMS-Ersatz verwenden. Allerdings stand die App in der Kritik, weil die Nachrichten nur im Klartext versendet wurden und daher mitgelesen werden können. Dieses Sicherheitsproblem hat der Hersteller inzwischen beseitigt. Die Nachrichten werden bei den aktuellen App-Versionen verschlüsselt übertragen.
Laut einem Blogeintrag von Sam Granger erweist sich dieser gut gemeinte Schritt als nicht gut durchdacht. Wie Granger bei seinem Android-Smartphone herausfand, generiert der Betreiber den Authentifizierungs-Schlüssel immer nach dem gleichen Schema. Er besteht einfach aus der umgekehrten IMEI-Nummer, also der eindeutigen Gerätekennung des jeweiligen Smartphones. Daraus wird dann ein MD5-Hash-Wert zur Identifizierung erzeugt. Als Benutzername dient die Telefonnummer.
Wer weiß, wie der Schlüssel erzeugt wird, kann die nötigen Daten leicht über Android-Schnittstellen herausfinden. Dazu bedarf es nur der Entwicklung einer kleinen App, die die IMEI- und Telefonnummer aus dem Handy auslesen kann. Um dann auf die Anmeldedaten der Whatsapp-Nutzer zuzugreifen, bräuchte ein Angreifer die App nur noch unter Vorgabe falscher Tatsachen in den Play-Store von Google einstellen. Angreifer könnten mit diesen Daten selbst unter dem falschen Account Nachrichten versenden oder sie beispielsweise an Spammer verkaufen.
Bei iOS lässt sich die IMEI nicht per Software auslesen. Nach Informationen von Ezio Amodio verwendet WhatsApp hier eine andere, aber nicht weniger problematische Methode. Die Basis für den Authentifizierungs-Schlüssel bildet bei iOS die MAC-Adresse des Gerätes. Auch dabei handelt es sich um eine eindeutige Kennung, die das iPhone aber bei jeder WLAN-Anmeldung überträgt und die daher noch leichter zu ermitteln ist. Wie in Android wird auch bei iOS zusätzlich die Telefonnummer für die Anmeldung benötigt.
Weitere Infos
Das könnte Sie auch interessieren:
WhatsApp-Nachrichten lassen sich mitlesen
Gefälschte „WhatsApp“-App bei Facebook
Apple zieht WhatsApp aus dem Verkehr
Das könnte Sie auch interessieren:
WhatsApp-Nachrichten lassen sich mitlesen
Gefälschte „WhatsApp“-App bei Facebook
Apple zieht WhatsApp aus dem Verkehr
Drei Modelle
Huawei bringt die Pura-70-Serie nach Deutschland
Bei Huawei löst die Pura-Serie die P-Modelle in der Smartphone-Oberklasse ab. Nach dem Debüt in China hat der Hersteller jetzt auch die Preise und das Startdatum für den deutschen Markt genannt.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>