WhatsApp, Whistle: unsichere Instant Messenger
WhatsApp hat bislang zwar einige SicherheitslĂĽcken geschlossen, bleibt aber nach wie vor unsicher. Dem neuen Dienst Whistle.im stellt ein Mitglied des CCC Hannover ein verheerendes Zeugnis aus.
Das Portal iRights.info geht in einem aktuellen Bericht der Frage nach, ob die wichtigsten Sicherheitslücken im verbreiteten Instant Messenger WhatsApp inzwischen behoben sind. Nachrichten und andere Daten werden nun tatsächlich verschlüsselt übertragen, das Mitlesen von Gesprächen durch Dritte, die im gleichen WLAN unterwegs sind, ist damit nicht mehr ohne weiteres möglich. Außerdem muss der Nutzer bei der ersten Registrierung einen Bestätigungscode eingeben, den er per SMS bekommt. Das macht es für Hacker schwerer, die Identität anderer Nutzer zu kapern.
Allerdings weisen die Apps immer noch erhebliche Sicherheitslücken auf. Ein Einfallstor ist beispielsweise der Zugriff der App auf das interne Telefonbuch, der sich auf Android-Geräten nicht abstellen lässt. Angreifer können über eine offenbar noch nicht geschlossene Sicherheitslücke auf fremde Konten bei den Bezahldiensten PayPal und Google Wallet zugreifen. Hinzu kommen Probleme mit dem Datenschutz: So werde das gesamte Adressbuch des Nutzers zum Beispiel noch immer in regelmäßigen Abständen auf die Unternehmensserver in den USA übertragen. Laut den Whatsapp-AGB geht es dabei aber nur um Nutzernamen und Telefonnummern, nicht die zugehörigen Namen oder andere Daten.
Andere Messenger werben mit mehr mehr Sicherheit, beispielsweise das Startup Whistle.im. Das Projekt zweier Studenten nutzt nach eigenen Angaben Ende-zu-Ende-VerschlĂĽsselung und Open-Source-Kryptografie. Ein Mitglied des CCC Hannover nimmt das Sicherheitsdesign dieses Projekts in einem Beitrag auseinander und kommt zu einem verheerenden Ergebnis. Seiner Analyse zufolge ist das System von Whistle.im gleich an mehreren Stellen angreifbar, etwa durch Man-in-the-Middle-Attacken.
Das Speichern der Nachrichten und der nichtöffentlichen Schlüssel auf dem Server von Whistle.im sei ein Verstoß gegen grundlegende Sicherheitsregeln und ermögliche es, die Nachrichten nachträglich zu entschlüsseln, wenn das Kennwort bekannt sei. Der Autor kommt zu dem Schluss, dass das als WhatsApp-Alternative gehandelte Whistle.im seinem Vorbild in nichts nachstehe – zumindest in puncto Sicherheitsmängeln. Zudem hätten die Entwickler "grundlegende Konzepte aktueller Verschlüsselungsverfahren nicht verstanden". (uma)