Verfasst von:

Sicherheitsrisiko: WhatsApp nutzt Eure IMEI als Passwort

Verfasst von: Nico Heister — 06.09.2012

WhatsApp gehört zu den beliebtesten Messengern überhaupt, doch leider ist der Dienst alles andere als sicher, wie ein Entwickler nun zu Bedenken gibt.

 

Durch die hohe Verbreitung und Akzeptanz bei den Nutzern könnte WhatsApp schnell ins Visier von Hackern gelangen, die gezielt nach Lücken und Schlupflöchern suchen. Entwickler Sam Granger hat nun herausgefunden, dass die Android-Version von WhatsApp die IMEI-Nummer des Smartphones nutzt, um daraus ein Passwort für Euren Account zu erstellen. Zwar wird an der IMEI noch ein MD5-Hash gesetzt, doch Granger betont, dass es relativ einfach ist, diese Informationen auszulesen.

Lücke nahezu mühelos ausnutzbar

Bei der IMEI handelt es sich um eine 15-stellige Seriennummer, anhand derer Euer Smartphone eindeutig identifiziert werden kann. Sam Granger, der sich selbst nicht als “Hardcore-Hacker” bezeichnet, gelang es in einem Test unter Freunden, die ihre Zustimmung gegeben hatten, nahezu mühelos, Nachrichten von ihren WhatsApp-Accounts zu senden und zu empfangen.

Obwohl die Nachricht, dass WhatsApp die IMEI zur Passworterstellung verwendet, alles andere als neu ist, war bisher nicht bekannt, wie einfach ein Angreifer an die entsprechenden Informationen gelangen könnte. So gesehen ist es dann vielleicht doch gar nicht so schlecht, dass Telekom-Kunden derzeit keinen Zugriff auf den Messenger haben.

Eine offizielle Stellungnahme seitens WhatsApp steht bisher noch aus.

(Foto-Quelle: Uschi Dreiucker/pixelio.de)

Quelle: The Next Web

Begeisterter Android-User seit Dezember 2009 und dem Motorola Milestone. Außerdem allgemein technikinteressiert und immer auf der Suche nach den neuesten Gadgets, die ihm das Leben entweder leichter oder schwerer machen. Nico ist zudem bekannt dafür, zu viel Kaffee zu trinken und zu wenig zu schlafen. In seiner raren Freizeit genießt er einen guten Film und lange Spaziergänge am Strand. Der letzte Teil war gelogen.

33 Kommentare

Neuen Kommentar schreiben:
  • Jan-Paul Nachtwey 09.09.2012 Link zum Kommentar

    @jaydee jede App mit der entsprechenden Berechtigung auf deinem Android kann die IMEI auslesen und weitergeben. Und jede App die werbebasiert ist fragt genau nach diesen Berechtigungen: Telefoninformationen auslesen und Internetberechtigung.

    0
  • olli 08.09.2012 Link zum Kommentar

    wenn jemand deine Daten haben will, dann bekommt er die auch so. ob man whatsapp nutzt oder einen der zahlreichen anderen dienste. komischerweise kommt sowas immer ans tageslicht, wenn die großen konzerne etwas eigenes auf den Markt bringen.

    0
  • boku 07.09.2012 Link zum Kommentar

    Da es hier um Sicherheit bei Whatsapp geht, hier mal ein interessanter Blog Eintrag bezuglich der Daten die übertragen werden beim kontakt sync.
    http://binblog.info/2011/06/18/whatsapp-protokollanalyse/

    0
  • Mat S. 07.09.2012 Link zum Kommentar

    @Em Be: Danke! You made my day! So siehts nämlich aus :D

    0
  • Em Be 07.09.2012 Link zum Kommentar

    Mir ist lieber irgendein nerd liest meine Nachrichten mit, als unsere Datenvorratsspeichernden “Volksvertreter“!!!

    0
  • JayDee 06.09.2012 Link zum Kommentar

    Kurze Frage: Wo wird die IMEI ausgelesen, also wo ist der Angriffspunkt? Offenes WLAN = selber schuld.
    Mobilfunknetz? Kann ich mir nicht vorstellen. Die Übertragung ist ausreichend genug gesichert das kein 0815 Hacker da rein kommt.
    IMEI am Gerät? Klar ich lass jeden mein Handy auseinander nehmen und unter dem Akku nachsehen.

    Bitte um mehr Informationen.

    0
  • Krshi 06.09.2012 Link zum Kommentar

    @Max Max Selbstverständlich werden auch bei XMPP Nachrichten auf dem Server zwischengespeichert. Letztlich basiert WhatsApp übrigens auf XMPP.

    Zur Integration: Finde Xabber integriert sich ganz ok in Android. Ist wohl eher Geschmacks- oder Gewohnheitssache.

    Ich hoffe allerdings auch, dass es bald bessere OpenSource-Apps gibt, sprich Beem, gibberbot, yaxim, oder vielleicht wird Xabber irgendwann noch OpenSource.

    Außerdem: WhatsApp zu nutzen wird früher oder später etwas kosten. Und OTR-Verschlüsselung gibt's auch nicht.

    Dass die WhatsApp-Crew einen dämlichen Authentifizierungsmechanismus implementiert hat, ist natürlich extra-fragwürdig.

    0
  • rudi müller 06.09.2012 Link zum Kommentar

    es gibt so viele bessere und vorallem 'kostenlose' alternativen wie yuilop. ich verstehe immer noch nicht wieso sich alle so sehr an whatsapp festbeißen -.-

    0
  • Icke 06.09.2012 Link zum Kommentar

    Es geht doch gar nicht ums Mitlesen von Nachrichten,
    sondern um den Mißbrauch der Identifikationsdaten,
    sprich senden unter den Namen eines anderen,
    vortäuschen, oder ausspähen von Standortdaten, usw.
    Wenn das für den einen oder anderen nicht bedenklich ist,
    dann ist euch leider nicht mehr zu helfen...

    0
  • Max Max 06.09.2012 Link zum Kommentar

    @krshi gegenüber gtalk bzw. dem Xmpp hat whatsapp doch einige Vorteile.

    So werden nicht zustellbare Nachrichten auf einem Server zwischengespeichert und sobald der Empfänger online ist zugestellt - auch wenn der Sender offline ist.

    Auch ist die Integration in Android bzw. IOS besser, da vielfältigere Benachrichtigung Einstellungen möglich sind.

    Außerdem sehe ich sofort wer in meinem Adressbuch whatsapp nutzt und kann so auch ohne Kenntnis von email etc. schnell diese Person kontaktieren.

    Mir persönlich wäre es aber auch lieber wenn es eine bessere open source Lösung gäbe.

    0
  • Krshi 06.09.2012 Link zum Kommentar

    Leute, ihr habt doch eh fast alle einen Account von Gmail, GMX, WebDE, freenet, ... oder sogar eine eigene Domain! Wieso nutzt ihr da nicht einfach das Protokoll XMPP alias Jabber zur schnellen Kommunikation? XMPP ist ähnlich wie E-Mail nur quasi in Echtzeit und kann prinzipiell sogar Voice/Video-Chat. Nutzt also mal besser Gratis-Apps wie GTalk oder Xabber oder IM+ oder Beem oder Gibberbot oder ...! Außer bei Talk ist da sogar End2end-Verschlüsselung eingebaut! Und auf dem Laptop oder Desktop benutzt ihr z.B. Jitsi oder Adium, beide gratis und Open source.

    0
  • Marian Eschweiler 06.09.2012 Link zum Kommentar

    Und der Hacker war wahrscheinlich t-mobile Mitarbeiter

    0
  • Max Max 06.09.2012 Link zum Kommentar

    Was ist da jetzt neu? Whatsapp benötigt in dem Sinn keinen Account, was die Einrichtung natürlich sehr einfach macht. Jeder der die imei und Handynummer kennt kann sich als diese Person ausgeben. Aber dazu benötigt er erstmal diese Daten.

    Schadsoftware kann diese natürlichen auslesen, aber da ist whatsapp das kleinere Problem wenn man solche installiert hat.

    Einziges Problem ist, dass andere Apps die diese Daten ebenfalls aus irgend einem Grund zentral speichern somit theoretisch die Zugangsdaten besitzen.

    0
  • User-Foto
    Torben 06.09.2012 Link zum Kommentar

    Ist schon klar, kaum wollen die großen Anbieter ihr Produkt auf den Markt bringen ist alles andere Müll.

    0
  • Android Fanboy 06.09.2012 Link zum Kommentar

    Solang man keine Sensiblen daten schickt kann es einem doch sowas von latte sein verdammt!

    0
  • Android Fanboy 06.09.2012 Link zum Kommentar

    Whatever!

    Sterb ich morgen daran?

    0
  • StundeX 06.09.2012 Link zum Kommentar

    Ist jetzt nicht euer ernst, dass ihr das glaubt mit den Kontodaten?

    Da hätte ich wohl noch schreiben sollen, dass wir dazu auch immer die Kontonummern schreiben und uns freuen wenn gemeinsame Zahlenkombinationen vorhanden sind. Vielleicht hätte dann jemand die Ironie herausgelesen.

    0
  • Susie 06.09.2012 Link zum Kommentar

    irgendwie hab ich der APP nie vertraut... und somit nicht genutzt...

    0
  • Roman K. 06.09.2012 Link zum Kommentar

    Das macht den weg für 3 viel bessere Apps frei!
    1. ChatOn
    2. Yuilop
    3. KakaoTalk

    0
  • Nico Heister
    • Mod
    06.09.2012 Link zum Kommentar

    Hallo Leon,

    das Problem wird aller Voraussicht nach mit dem nächsten Update unserer App behoben sein. Danke noch mal für den Hinweis!


    Viele Grüße!

    0
Zeige alle Kommentare