X

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

Sicherheitsrisiko: WhatsApp nutzt Eure IMEI als Passwort

Nico Heister
34

WhatsApp gehört zu den beliebtesten Messengern überhaupt, doch leider ist der Dienst alles andere als sicher, wie ein Entwickler nun zu Bedenken gibt.

 

Durch die hohe Verbreitung und Akzeptanz bei den Nutzern könnte WhatsApp schnell ins Visier von Hackern gelangen, die gezielt nach Lücken und Schlupflöchern suchen. Entwickler Sam Granger hat nun herausgefunden, dass die Android-Version von WhatsApp die IMEI-Nummer des Smartphones nutzt, um daraus ein Passwort für Euren Account zu erstellen. Zwar wird an der IMEI noch ein MD5-Hash gesetzt, doch Granger betont, dass es relativ einfach ist, diese Informationen auszulesen.

Lücke nahezu mühelos ausnutzbar

Bei der IMEI handelt es sich um eine 15-stellige Seriennummer, anhand derer Euer Smartphone eindeutig identifiziert werden kann. Sam Granger, der sich selbst nicht als “Hardcore-Hacker” bezeichnet, gelang es in einem Test unter Freunden, die ihre Zustimmung gegeben hatten, nahezu mühelos, Nachrichten von ihren WhatsApp-Accounts zu senden und zu empfangen.

Obwohl die Nachricht, dass WhatsApp die IMEI zur Passworterstellung verwendet, alles andere als neu ist, war bisher nicht bekannt, wie einfach ein Angreifer an die entsprechenden Informationen gelangen könnte. So gesehen ist es dann vielleicht doch gar nicht so schlecht, dass Telekom-Kunden derzeit keinen Zugriff auf den Messenger haben.

Eine offizielle Stellungnahme seitens WhatsApp steht bisher noch aus.

(Foto-Quelle: Uschi Dreiucker/pixelio.de)

Verwandte Themen

Auch interessant

Magazin / Apps
10 vor 2 Tagen

E-Mail-Falle: "WhatsApp Nachricht von..." führt zu Pornoseite

Magazin / Apps
232 vor 3 Wochen

WhatsApp vs. WhatsApp Plus: Darum ist die Chat-Alternative besser [EVERGREEN]

Magazin / Apps
18 vor 4 Wochen

WhatsApp updaten: So habt Ihr immer die aktuelle Version

Kommentare

Neuen Kommentar schreiben:
  • A. Kitzi 06.09.2012 Link

    O_o????? also die Entwickler Ham ja echt einen an der klatsche....

    0
    0
  • Michael S. 06.09.2012 Link

    nachdem, was im Fernsehen, etc. alles über whatsapp gesagt wurde, ist es schon fahrlässig, dieses Programm überhaupt noch zu nutzen.

    0
    0
  • nox 06.09.2012 Link

    Naja im TV ist das ja nur dem Werbefeldzug für Yoin geschuldet.

    0
    0
  • Oliver D. 06.09.2012 Link

    Na ja, wenn es im Fernsehn gekommen ist, bin ich ja beruhigt.....dann stimmt es wohl mit aller größter warscheinlichkeit nicht ;-D


    Sobald ein neues System am Markt ist, wird versucht es zu hacken, das ist normal und auch irgendwo gut so, denn das spornt an.....

    0
    0
  • Leon 06.09.2012 Link

    Ihr speichert unter /data/data/de.androidpit.appcenter/shared_prefs/AccountPrefs.xml die E-Mail und Passwort aus dem App Center im Klartext.
    Ich weiss nicht was bedenklicher ist.
    Ich hab euch ja schon angeschrieben, aber ihr habt nicht reagiert :(

    0
    0
  • StundeX 06.09.2012 Link

    Das heißt wohl es ist gar nicht angebracht seine Tan-Nummern und Geheimzahlen den Freunden über whatsapp mitzuteilen?
    Wen interessierts, können die Hackerfreaks die den ganzen Tag nur am Rechner sitzen doch ruhig meine Nachrichten mitlesen. Vielleicht ist das ja der erste Schritt soziale Bindungen aufzubauen oder mal zu erleben wie man mit "realen" Menschen auserhalb von WoW kommuniziert.
    Kommende Messenger von Vodafone, Telekom usw. werde ich deswegen trotzdem nicht nutzen.

    0
    0
  • Tommy1911 06.09.2012 Link

    Also über Wapp sende ich sowieso keine Konto Daten und Co. Also ist es mir auch völlig Latte ob jemand meine Nachrichten ließt.

    0
    0
  • Stephan 06.09.2012 Link

    wer übermittelt überhaupt so brisante Details an bekannte? schon doof! also ich übermittel Sachen wie Konto Daten oder ähnliches nur an Leute/Systeme wo es hin muss aber doch nicht an bekannte

    0
    0
  • User-Foto
    Flash Fan 06.09.2012 Link

    Schon merkwürdig, da versuchen die Mobilfunkunternehmen ihren eigenen Diest zu pushen und schon gibt rs Probleme und massive Sicherheitsbedenken... Schon klar...

    0
    0
  • Thomas 06.09.2012 Link

    ohh,im ersten moment dachte ich : ach du schande,was denn nun und jetzt denke ich : ach du schande,ist mir das egal aber sowas von ;)

    0
    0
  • jens k. 06.09.2012 Link

    Hmm, was bedeutet "mit Zustimmung seiner Freunde" dabei? Hatte er Zugriff auf ihr handy vorher oder konnte er es machen, weil sie seine Kontakte waren?
    Ich denke das jede Software zu knacken ist, inwiefern andere sicherer sind......
    Nur weil sich wegen mangelnder Bekanntheit kein Hacker dafür interessiert :-P

    0
    0
  • The Hansel 06.09.2012 Link

    Ich kann da nur Kakao talk empfehlen! Mehr Features wie z.B. kostenlos telefonieren, Skins usw. Man muss nur seine Freunde davon überzeugen, sich das auch zu installieren... ;)

    0
    0
  • harry hans 06.09.2012 Link

    meine konto pin ist 3423

    0
    0
  • User-Foto
    Admin
    Nico Heister 06.09.2012 Link

    Hallo Leon,

    das Problem wird aller Voraussicht nach mit dem nächsten Update unserer App behoben sein. Danke noch mal für den Hinweis!


    Viele Grüße!

    0
    0
  • Roman K. 06.09.2012 Link

    Das macht den weg für 3 viel bessere Apps frei!
    1. ChatOn
    2. Yuilop
    3. KakaoTalk

    0
    0
  • Susie 06.09.2012 Link

    irgendwie hab ich der APP nie vertraut... und somit nicht genutzt...

    0
    0
  • StundeX 06.09.2012 Link

    Ist jetzt nicht euer ernst, dass ihr das glaubt mit den Kontodaten?

    Da hätte ich wohl noch schreiben sollen, dass wir dazu auch immer die Kontonummern schreiben und uns freuen wenn gemeinsame Zahlenkombinationen vorhanden sind. Vielleicht hätte dann jemand die Ironie herausgelesen.

    0
    0
  • Android Fanboy 06.09.2012 Link

    Whatever!

    Sterb ich morgen daran?

    0
    0
  • Android Fanboy 06.09.2012 Link

    Solang man keine Sensiblen daten schickt kann es einem doch sowas von latte sein verdammt!

    0
    0
  • User-Foto
    Torben 06.09.2012 Link

    Ist schon klar, kaum wollen die großen Anbieter ihr Produkt auf den Markt bringen ist alles andere Müll.

    0
    0
  • Max Max 06.09.2012 Link

    Was ist da jetzt neu? Whatsapp benötigt in dem Sinn keinen Account, was die Einrichtung natürlich sehr einfach macht. Jeder der die imei und Handynummer kennt kann sich als diese Person ausgeben. Aber dazu benötigt er erstmal diese Daten.

    Schadsoftware kann diese natürlichen auslesen, aber da ist whatsapp das kleinere Problem wenn man solche installiert hat.

    Einziges Problem ist, dass andere Apps die diese Daten ebenfalls aus irgend einem Grund zentral speichern somit theoretisch die Zugangsdaten besitzen.

    0
    0
  • Marian Eschweiler 06.09.2012 Link

    Und der Hacker war wahrscheinlich t-mobile Mitarbeiter

    0
    0
  • Krshi 06.09.2012 Link

    Leute, ihr habt doch eh fast alle einen Account von Gmail, GMX, WebDE, freenet, ... oder sogar eine eigene Domain! Wieso nutzt ihr da nicht einfach das Protokoll XMPP alias Jabber zur schnellen Kommunikation? XMPP ist ähnlich wie E-Mail nur quasi in Echtzeit und kann prinzipiell sogar Voice/Video-Chat. Nutzt also mal besser Gratis-Apps wie GTalk oder Xabber oder IM+ oder Beem oder Gibberbot oder ...! Außer bei Talk ist da sogar End2end-Verschlüsselung eingebaut! Und auf dem Laptop oder Desktop benutzt ihr z.B. Jitsi oder Adium, beide gratis und Open source.

    0
    0
  • Max Max 06.09.2012 Link

    @krshi gegenüber gtalk bzw. dem Xmpp hat whatsapp doch einige Vorteile.

    So werden nicht zustellbare Nachrichten auf einem Server zwischengespeichert und sobald der Empfänger online ist zugestellt - auch wenn der Sender offline ist.

    Auch ist die Integration in Android bzw. IOS besser, da vielfältigere Benachrichtigung Einstellungen möglich sind.

    Außerdem sehe ich sofort wer in meinem Adressbuch whatsapp nutzt und kann so auch ohne Kenntnis von email etc. schnell diese Person kontaktieren.

    Mir persönlich wäre es aber auch lieber wenn es eine bessere open source Lösung gäbe.

    0
    0
  • Icke 06.09.2012 Link

    Es geht doch gar nicht ums Mitlesen von Nachrichten,
    sondern um den Mißbrauch der Identifikationsdaten,
    sprich senden unter den Namen eines anderen,
    vortäuschen, oder ausspähen von Standortdaten, usw.
    Wenn das für den einen oder anderen nicht bedenklich ist,
    dann ist euch leider nicht mehr zu helfen...

    0
    0
  • rudi müller 06.09.2012 Link

    es gibt so viele bessere und vorallem 'kostenlose' alternativen wie yuilop. ich verstehe immer noch nicht wieso sich alle so sehr an whatsapp festbeißen -.-

    0
    0
  • Krshi 06.09.2012 Link

    @Max Max Selbstverständlich werden auch bei XMPP Nachrichten auf dem Server zwischengespeichert. Letztlich basiert WhatsApp übrigens auf XMPP.

    Zur Integration: Finde Xabber integriert sich ganz ok in Android. Ist wohl eher Geschmacks- oder Gewohnheitssache.

    Ich hoffe allerdings auch, dass es bald bessere OpenSource-Apps gibt, sprich Beem, gibberbot, yaxim, oder vielleicht wird Xabber irgendwann noch OpenSource.

    Außerdem: WhatsApp zu nutzen wird früher oder später etwas kosten. Und OTR-Verschlüsselung gibt's auch nicht.

    Dass die WhatsApp-Crew einen dämlichen Authentifizierungsmechanismus implementiert hat, ist natürlich extra-fragwürdig.

    0
    0
  • JayDee 06.09.2012 Link

    Kurze Frage: Wo wird die IMEI ausgelesen, also wo ist der Angriffspunkt? Offenes WLAN = selber schuld.
    Mobilfunknetz? Kann ich mir nicht vorstellen. Die Übertragung ist ausreichend genug gesichert das kein 0815 Hacker da rein kommt.
    IMEI am Gerät? Klar ich lass jeden mein Handy auseinander nehmen und unter dem Akku nachsehen.

    Bitte um mehr Informationen.

    0
    0
  • Em Be 07.09.2012 Link

    Mir ist lieber irgendein nerd liest meine Nachrichten mit, als unsere Datenvorratsspeichernden “Volksvertreter“!!!

    0
    0
  • Mat S. 07.09.2012 Link

    @Em Be: Danke! You made my day! So siehts nämlich aus :D

    0
    0
  • boku 07.09.2012 Link

    Da es hier um Sicherheit bei Whatsapp geht, hier mal ein interessanter Blog Eintrag bezuglich der Daten die übertragen werden beim kontakt sync.
    http://binblog.info/2011/06/18/whatsapp-protokollanalyse/

    0
    0
  • olli 08.09.2012 Link

    wenn jemand deine Daten haben will, dann bekommt er die auch so. ob man whatsapp nutzt oder einen der zahlreichen anderen dienste. komischerweise kommt sowas immer ans tageslicht, wenn die großen konzerne etwas eigenes auf den Markt bringen.

    0
    0
  • Jan-Paul Nachtwey 09.09.2012 Link

    @jaydee jede App mit der entsprechenden Berechtigung auf deinem Android kann die IMEI auslesen und weitergeben. Und jede App die werbebasiert ist fragt genau nach diesen Berechtigungen: Telefoninformationen auslesen und Internetberechtigung.

    0
    0