WhatsApp gehört zu den beliebtesten Messengern überhaupt, doch leider ist der Dienst alles andere als sicher, wie ein Entwickler nun zu Bedenken gibt.
Durch die hohe Verbreitung und Akzeptanz bei den Nutzern könnte WhatsApp schnell ins Visier von Hackern gelangen, die gezielt nach Lücken und Schlupflöchern suchen. Entwickler Sam Granger hat nun herausgefunden, dass die Android-Version von WhatsApp die IMEI-Nummer des Smartphones nutzt, um daraus ein Passwort für Euren Account zu erstellen. Zwar wird an der IMEI noch ein MD5-Hash gesetzt, doch Granger betont, dass es relativ einfach ist, diese Informationen auszulesen.
Lücke nahezu mühelos ausnutzbar
Bei der IMEI handelt es sich um eine 15-stellige Seriennummer, anhand derer Euer Smartphone eindeutig identifiziert werden kann. Sam Granger, der sich selbst nicht als “Hardcore-Hacker” bezeichnet, gelang es in einem Test unter Freunden, die ihre Zustimmung gegeben hatten, nahezu mühelos, Nachrichten von ihren WhatsApp-Accounts zu senden und zu empfangen.
Obwohl die Nachricht, dass WhatsApp die IMEI zur Passworterstellung verwendet, alles andere als neu ist, war bisher nicht bekannt, wie einfach ein Angreifer an die entsprechenden Informationen gelangen könnte. So gesehen ist es dann vielleicht doch gar nicht so schlecht, dass Telekom-Kunden derzeit keinen Zugriff auf den Messenger haben.
Eine offizielle Stellungnahme seitens WhatsApp steht bisher noch aus.
(Foto-Quelle: Uschi Dreiucker/pixelio.de)
Auch interessant
Kommentare
@jaydee jede App mit der entsprechenden Berechtigung auf deinem Android kann die IMEI auslesen und weitergeben. Und jede App die werbebasiert ist fragt genau nach diesen Berechtigungen: Telefoninformationen auslesen und Internetberechtigung.
wenn jemand deine Daten haben will, dann bekommt er die auch so. ob man whatsapp nutzt oder einen der zahlreichen anderen dienste. komischerweise kommt sowas immer ans tageslicht, wenn die großen konzerne etwas eigenes auf den Markt bringen.
Da es hier um Sicherheit bei Whatsapp geht, hier mal ein interessanter Blog Eintrag bezuglich der Daten die übertragen werden beim kontakt sync.
http://binblog.info/2011/06/18/whatsapp-protokollanalyse/
@Em Be: Danke! You made my day! So siehts nämlich aus :D
Mir ist lieber irgendein nerd liest meine Nachrichten mit, als unsere Datenvorratsspeichernden “Volksvertreter“!!!
Kurze Frage: Wo wird die IMEI ausgelesen, also wo ist der Angriffspunkt? Offenes WLAN = selber schuld.
Mobilfunknetz? Kann ich mir nicht vorstellen. Die Übertragung ist ausreichend genug gesichert das kein 0815 Hacker da rein kommt.
IMEI am Gerät? Klar ich lass jeden mein Handy auseinander nehmen und unter dem Akku nachsehen.
Bitte um mehr Informationen.
@Max Max Selbstverständlich werden auch bei XMPP Nachrichten auf dem Server zwischengespeichert. Letztlich basiert WhatsApp übrigens auf XMPP.
Zur Integration: Finde Xabber integriert sich ganz ok in Android. Ist wohl eher Geschmacks- oder Gewohnheitssache.
Ich hoffe allerdings auch, dass es bald bessere OpenSource-Apps gibt, sprich Beem, gibberbot, yaxim, oder vielleicht wird Xabber irgendwann noch OpenSource.
Außerdem: WhatsApp zu nutzen wird früher oder später etwas kosten. Und OTR-Verschlüsselung gibt's auch nicht.
Dass die WhatsApp-Crew einen dämlichen Authentifizierungsmechanismus implementiert hat, ist natürlich extra-fragwürdig.
es gibt so viele bessere und vorallem 'kostenlose' alternativen wie yuilop. ich verstehe immer noch nicht wieso sich alle so sehr an whatsapp festbeißen -.-
Es geht doch gar nicht ums Mitlesen von Nachrichten,
sondern um den Mißbrauch der Identifikationsdaten,
sprich senden unter den Namen eines anderen,
vortäuschen, oder ausspähen von Standortdaten, usw.
Wenn das für den einen oder anderen nicht bedenklich ist,
dann ist euch leider nicht mehr zu helfen...
@krshi gegenüber gtalk bzw. dem Xmpp hat whatsapp doch einige Vorteile.
So werden nicht zustellbare Nachrichten auf einem Server zwischengespeichert und sobald der Empfänger online ist zugestellt - auch wenn der Sender offline ist.
Auch ist die Integration in Android bzw. IOS besser, da vielfältigere Benachrichtigung Einstellungen möglich sind.
Außerdem sehe ich sofort wer in meinem Adressbuch whatsapp nutzt und kann so auch ohne Kenntnis von email etc. schnell diese Person kontaktieren.
Mir persönlich wäre es aber auch lieber wenn es eine bessere open source Lösung gäbe.
Leute, ihr habt doch eh fast alle einen Account von Gmail, GMX, WebDE, freenet, ... oder sogar eine eigene Domain! Wieso nutzt ihr da nicht einfach das Protokoll XMPP alias Jabber zur schnellen Kommunikation? XMPP ist ähnlich wie E-Mail nur quasi in Echtzeit und kann prinzipiell sogar Voice/Video-Chat. Nutzt also mal besser Gratis-Apps wie GTalk oder Xabber oder IM+ oder Beem oder Gibberbot oder ...! Außer bei Talk ist da sogar End2end-Verschlüsselung eingebaut! Und auf dem Laptop oder Desktop benutzt ihr z.B. Jitsi oder Adium, beide gratis und Open source.
Und der Hacker war wahrscheinlich t-mobile Mitarbeiter
Was ist da jetzt neu? Whatsapp benötigt in dem Sinn keinen Account, was die Einrichtung natürlich sehr einfach macht. Jeder der die imei und Handynummer kennt kann sich als diese Person ausgeben. Aber dazu benötigt er erstmal diese Daten.
Schadsoftware kann diese natürlichen auslesen, aber da ist whatsapp das kleinere Problem wenn man solche installiert hat.
Einziges Problem ist, dass andere Apps die diese Daten ebenfalls aus irgend einem Grund zentral speichern somit theoretisch die Zugangsdaten besitzen.
Ist schon klar, kaum wollen die großen Anbieter ihr Produkt auf den Markt bringen ist alles andere Müll.
Solang man keine Sensiblen daten schickt kann es einem doch sowas von latte sein verdammt!
Whatever!
Sterb ich morgen daran?
Ist jetzt nicht euer ernst, dass ihr das glaubt mit den Kontodaten?
Da hätte ich wohl noch schreiben sollen, dass wir dazu auch immer die Kontonummern schreiben und uns freuen wenn gemeinsame Zahlenkombinationen vorhanden sind. Vielleicht hätte dann jemand die Ironie herausgelesen.
irgendwie hab ich der APP nie vertraut... und somit nicht genutzt...
Das macht den weg für 3 viel bessere Apps frei!
1. ChatOn
2. Yuilop
3. KakaoTalk
Hallo Leon,
das Problem wird aller Voraussicht nach mit dem nächsten Update unserer App behoben sein. Danke noch mal für den Hinweis!
Viele Grüße!
meine konto pin ist 3423
Ich kann da nur Kakao talk empfehlen! Mehr Features wie z.B. kostenlos telefonieren, Skins usw. Man muss nur seine Freunde davon überzeugen, sich das auch zu installieren... ;)
Hmm, was bedeutet "mit Zustimmung seiner Freunde" dabei? Hatte er Zugriff auf ihr handy vorher oder konnte er es machen, weil sie seine Kontakte waren?
Ich denke das jede Software zu knacken ist, inwiefern andere sicherer sind......
Nur weil sich wegen mangelnder Bekanntheit kein Hacker dafür interessiert :-P
ohh,im ersten moment dachte ich : ach du schande,was denn nun und jetzt denke ich : ach du schande,ist mir das egal aber sowas von ;)
Schon merkwürdig, da versuchen die Mobilfunkunternehmen ihren eigenen Diest zu pushen und schon gibt rs Probleme und massive Sicherheitsbedenken... Schon klar...
wer übermittelt überhaupt so brisante Details an bekannte? schon doof! also ich übermittel Sachen wie Konto Daten oder ähnliches nur an Leute/Systeme wo es hin muss aber doch nicht an bekannte
Also über Wapp sende ich sowieso keine Konto Daten und Co. Also ist es mir auch völlig Latte ob jemand meine Nachrichten ließt.
Das heißt wohl es ist gar nicht angebracht seine Tan-Nummern und Geheimzahlen den Freunden über whatsapp mitzuteilen?
Wen interessierts, können die Hackerfreaks die den ganzen Tag nur am Rechner sitzen doch ruhig meine Nachrichten mitlesen. Vielleicht ist das ja der erste Schritt soziale Bindungen aufzubauen oder mal zu erleben wie man mit "realen" Menschen auserhalb von WoW kommuniziert.
Kommende Messenger von Vodafone, Telekom usw. werde ich deswegen trotzdem nicht nutzen.
Ihr speichert unter /data/data/de.androidpit.appcenter/shared_prefs/AccountPrefs.xml die E-Mail und Passwort aus dem App Center im Klartext.
Ich weiss nicht was bedenklicher ist.
Ich hab euch ja schon angeschrieben, aber ihr habt nicht reagiert :(
Na ja, wenn es im Fernsehn gekommen ist, bin ich ja beruhigt.....dann stimmt es wohl mit aller größter warscheinlichkeit nicht ;-D
Sobald ein neues System am Markt ist, wird versucht es zu hacken, das ist normal und auch irgendwo gut so, denn das spornt an.....
Naja im TV ist das ja nur dem Werbefeldzug für Yoin geschuldet.
habe ich eh noch nie genutzt.
wir machen alles über Talk .
nachdem, was im Fernsehen, etc. alles über whatsapp gesagt wurde, ist es schon fahrlässig, dieses Programm überhaupt noch zu nutzen.
O_o????? also die Entwickler Ham ja echt einen an der klatsche....