Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK

Sicherheitsrisiko: WhatsApp nutzt Eure IMEI als Passwort

Verfasst von: Gelöschter Account — 06.09.2012

WhatsApp gehört zu den beliebtesten Messengern überhaupt, doch leider ist der Dienst alles andere als sicher, wie ein Entwickler nun zu Bedenken gibt.

 

Durch die hohe Verbreitung und Akzeptanz bei den Nutzern könnte WhatsApp schnell ins Visier von Hackern gelangen, die gezielt nach Lücken und Schlupflöchern suchen. Entwickler Sam Granger hat nun herausgefunden, dass die Android-Version von WhatsApp die IMEI-Nummer des Smartphones nutzt, um daraus ein Passwort für Euren Account zu erstellen. Zwar wird an der IMEI noch ein MD5-Hash gesetzt, doch Granger betont, dass es relativ einfach ist, diese Informationen auszulesen.

Lücke nahezu mühelos ausnutzbar

Bei der IMEI handelt es sich um eine 15-stellige Seriennummer, anhand derer Euer Smartphone eindeutig identifiziert werden kann. Sam Granger, der sich selbst nicht als “Hardcore-Hacker” bezeichnet, gelang es in einem Test unter Freunden, die ihre Zustimmung gegeben hatten, nahezu mühelos, Nachrichten von ihren WhatsApp-Accounts zu senden und zu empfangen.

Obwohl die Nachricht, dass WhatsApp die IMEI zur Passworterstellung verwendet, alles andere als neu ist, war bisher nicht bekannt, wie einfach ein Angreifer an die entsprechenden Informationen gelangen könnte. So gesehen ist es dann vielleicht doch gar nicht so schlecht, dass Telekom-Kunden derzeit keinen Zugriff auf den Messenger haben.

Eine offizielle Stellungnahme seitens WhatsApp steht bisher noch aus.

(Foto-Quelle: Uschi Dreiucker/pixelio.de)

Quelle: The Next Web

Begeisterter Android-User seit Dezember 2009 und dem Motorola Milestone. Außerdem allgemein technikinteressiert und immer auf der Suche nach den neuesten Gadgets, die ihm das Leben entweder leichter oder schwerer machen. Nico ist zudem bekannt dafür, zu viel Kaffee zu trinken und zu wenig zu schlafen. In seiner raren Freizeit genießt er einen guten Film und lange Spaziergänge am Strand. Der letzte Teil war gelogen.

33 Kommentare

Neuen Kommentar schreiben:
  • @jaydee jede App mit der entsprechenden Berechtigung auf deinem Android kann die IMEI auslesen und weitergeben. Und jede App die werbebasiert ist fragt genau nach diesen Berechtigungen: Telefoninformationen auslesen und Internetberechtigung.

  • wenn jemand deine Daten haben will, dann bekommt er die auch so. ob man whatsapp nutzt oder einen der zahlreichen anderen dienste. komischerweise kommt sowas immer ans tageslicht, wenn die großen konzerne etwas eigenes auf den Markt bringen.

  • Da es hier um Sicherheit bei Whatsapp geht, hier mal ein interessanter Blog Eintrag bezuglich der Daten die übertragen werden beim kontakt sync.
    http://binblog.info/2011/06/18/whatsapp-protokollanalyse/

  • @Em Be: Danke! You made my day! So siehts nämlich aus :D

  • Mir ist lieber irgendein nerd liest meine Nachrichten mit, als unsere Datenvorratsspeichernden “Volksvertreter“!!!

  • Kurze Frage: Wo wird die IMEI ausgelesen, also wo ist der Angriffspunkt? Offenes WLAN = selber schuld.
    Mobilfunknetz? Kann ich mir nicht vorstellen. Die Übertragung ist ausreichend genug gesichert das kein 0815 Hacker da rein kommt.
    IMEI am Gerät? Klar ich lass jeden mein Handy auseinander nehmen und unter dem Akku nachsehen.

    Bitte um mehr Informationen.

  • @Max Max Selbstverständlich werden auch bei XMPP Nachrichten auf dem Server zwischengespeichert. Letztlich basiert WhatsApp übrigens auf XMPP.

    Zur Integration: Finde Xabber integriert sich ganz ok in Android. Ist wohl eher Geschmacks- oder Gewohnheitssache.

    Ich hoffe allerdings auch, dass es bald bessere OpenSource-Apps gibt, sprich Beem, gibberbot, yaxim, oder vielleicht wird Xabber irgendwann noch OpenSource.

    Außerdem: WhatsApp zu nutzen wird früher oder später etwas kosten. Und OTR-Verschlüsselung gibt's auch nicht.

    Dass die WhatsApp-Crew einen dämlichen Authentifizierungsmechanismus implementiert hat, ist natürlich extra-fragwürdig.

  • es gibt so viele bessere und vorallem 'kostenlose' alternativen wie yuilop. ich verstehe immer noch nicht wieso sich alle so sehr an whatsapp festbeißen -.-

  • Es geht doch gar nicht ums Mitlesen von Nachrichten,
    sondern um den Mißbrauch der Identifikationsdaten,
    sprich senden unter den Namen eines anderen,
    vortäuschen, oder ausspähen von Standortdaten, usw.
    Wenn das für den einen oder anderen nicht bedenklich ist,
    dann ist euch leider nicht mehr zu helfen...

  • @krshi gegenüber gtalk bzw. dem Xmpp hat whatsapp doch einige Vorteile.

    So werden nicht zustellbare Nachrichten auf einem Server zwischengespeichert und sobald der Empfänger online ist zugestellt - auch wenn der Sender offline ist.

    Auch ist die Integration in Android bzw. IOS besser, da vielfältigere Benachrichtigung Einstellungen möglich sind.

    Außerdem sehe ich sofort wer in meinem Adressbuch whatsapp nutzt und kann so auch ohne Kenntnis von email etc. schnell diese Person kontaktieren.

    Mir persönlich wäre es aber auch lieber wenn es eine bessere open source Lösung gäbe.

  • Leute, ihr habt doch eh fast alle einen Account von Gmail, GMX, WebDE, freenet, ... oder sogar eine eigene Domain! Wieso nutzt ihr da nicht einfach das Protokoll XMPP alias Jabber zur schnellen Kommunikation? XMPP ist ähnlich wie E-Mail nur quasi in Echtzeit und kann prinzipiell sogar Voice/Video-Chat. Nutzt also mal besser Gratis-Apps wie GTalk oder Xabber oder IM+ oder Beem oder Gibberbot oder ...! Außer bei Talk ist da sogar End2end-Verschlüsselung eingebaut! Und auf dem Laptop oder Desktop benutzt ihr z.B. Jitsi oder Adium, beide gratis und Open source.

  • Und der Hacker war wahrscheinlich t-mobile Mitarbeiter

  • Was ist da jetzt neu? Whatsapp benötigt in dem Sinn keinen Account, was die Einrichtung natürlich sehr einfach macht. Jeder der die imei und Handynummer kennt kann sich als diese Person ausgeben. Aber dazu benötigt er erstmal diese Daten.

    Schadsoftware kann diese natürlichen auslesen, aber da ist whatsapp das kleinere Problem wenn man solche installiert hat.

    Einziges Problem ist, dass andere Apps die diese Daten ebenfalls aus irgend einem Grund zentral speichern somit theoretisch die Zugangsdaten besitzen.

  • 6

    Ist schon klar, kaum wollen die großen Anbieter ihr Produkt auf den Markt bringen ist alles andere Müll.

  • Solang man keine Sensiblen daten schickt kann es einem doch sowas von latte sein verdammt!

  • Whatever!

    Sterb ich morgen daran?

  • Ist jetzt nicht euer ernst, dass ihr das glaubt mit den Kontodaten?

    Da hätte ich wohl noch schreiben sollen, dass wir dazu auch immer die Kontonummern schreiben und uns freuen wenn gemeinsame Zahlenkombinationen vorhanden sind. Vielleicht hätte dann jemand die Ironie herausgelesen.

  • irgendwie hab ich der APP nie vertraut... und somit nicht genutzt...

  • Das macht den weg für 3 viel bessere Apps frei!
    1. ChatOn
    2. Yuilop
    3. KakaoTalk

  • 56

    Hallo Leon,

    das Problem wird aller Voraussicht nach mit dem nächsten Update unserer App behoben sein. Danke noch mal für den Hinweis!


    Viele Grüße!

Zeige alle Kommentare

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!