Erneut Account-Klau bei WhatsApp möglich
Lange hat es nicht gedauert: Auch die aktuelle WhatsApp ist geknackt. Mit wenig Aufwand kann man Nachrichten im fremden Namen senden und empfangen.
- Ronald Eikenberg
Bei einem Test von heise Security stellte sich heraus, dass man WhatsApp-Accounts erneut mit geringem Aufwand kapern kann. Wir konnten unbemerkt Nachrichten im Namen anderer WhatsApp-Nutzer senden und empfangen. Auf den Android-Smartphones der Test-Opfer war die derzeit aktuelle Version 2.8.7326 der Nachrichten-App installiert. Der Account-Klau hat bereits vor rund zwei Monaten funktioniert, bis die aktuelle WhatsApp-Version herauskam. Diese galt bislang als sicher, weil die bisherigen Methoden zur Account-Ăśbernahme nicht mehr funktionierten.
Für die Account-Übernahme benötigten wir lediglich die Handynummer des Nutzers und die Seriennummer (IMEI) seines Smartphones – das sind beides Informationen, an die man leicht herankommt. Das eingesetzte Skript hat uns ein Leser zur Verfügung gestellt. Es generiert aus der IMEI das zur Anmeldung am WhatsApp-Server nötige Passwort.
Man muss davon ausgehen, dass auch die WhatsApp-Versionen für andere Smartphone-Betriebssysteme noch auf ähnliche Weise verwundbar sind. Bei unserem Test mit der Vorversion gelang der Account-Klau auch bei iOS-Nutzern. Der Betreiber macht keine Angaben darüber, was sich in puncto Sicherheit seitdem getan hat. Frei nach dem Motto: Security through Obscurity.
Obwohl WhatsApp in der Vergangenheit auf keine unserer Presseanfragen reagiert hat, haben wir das Unternehmen auch dieses Mal wieder über das Sicherheitsproblem informiert. Nach einigen Tagen erhielten wir tatsächlich eine Antwort von einer Person, die laut Medienberichten als einer der beiden Gründer von WhatsApp gilt. Sie erkundigte sich formlos, welche Version der App betroffen ist, worauf wir auch umgehend antworteten. Seitdem herrscht wieder Funkstille.
Um das Abdichten der Lücke zu beschleunigen, haben wir dem WhatsApp-Chef angeboten, ihm sämtliche uns vorliegenden Details über die Schwachstelle und das zum Account-Klau genutzte Skript zur Verfügung zu stellen. Seitdem sind mehrere Tage vergangen – zu unserer Verwunderung hat WhatsApp bislang nicht um die Zusendung der Informationen gebeten.
Wenn man Revue passieren lässt, wie WhatsApp bislang mit dem Thema Sicherheit umgegangen ist, kann man eigentlich nur noch von der Nutzung des Dienstes abraten. Alternativen mit einer ähnlichen großen Nutzergemeinde sind Skype oder Facebook. Oder aber man benutzt E-Mail oder SMS – diese Techniken sind hinreichend dokumentiert, weshalb sich jedermann ein eigenes Bild von den Nutzungsrisiken machen kann. (rei)