WhatsApp-Accounts fast ungeschĂĽtzt
Unser Test zeigt, wie leicht Datenschnüffler Nachrichten im Namen anderer WhatsApp-Nutzer senden und auch empfangen können. Ist der Account einmal gekapert, kann man sich nicht mehr vor den fremden Zugriff schützen.
- Ronald Eikenberg
Der beliebte SMS-Ersatz WhatsApp lässt sich mit Hilfe frei zugänglicher Tools leicht kapern, wie ein Test von heise Security ergab. Wer WhatsApp in einem öffentlichen WLAN nutzt, riskiert, dass Datenschnüffler den Account zum Senden und Empfangen von Nachrichten missbrauchen. Ist der Account einmal geknackt, kann man ihn nicht mehr absichern. Der Schnüffler kann ihn fortan beliebig nutzen.
Im Laufe der Woche zeichnete sich bereits ab, dass die Authentifizierung bei WhatsApp nicht sehr sicher ist: Forscher fanden heraus, dass der Client zur Anmeldung am Server ein selbstgeneriertes Passwort nutzt, das bei Android aus der Seriennummer (IMEI) des Smartphones und bei iOS aus der MAC-Adresse der WLAN-Schnittstelle erzeugt wird. Das Problem hierbei ist, dass diese Daten alles andere als geheim sind: die IMEI des Android-Smartphones steht oft auf dessen Rückseite und lässt sich auch per Tastenkombination oder App auslesen.
Bei iOS-Nutzern haben Datenschnüffler noch leichteres Spiel: Die MAC-Adresse sieht bei der WLAN-Nutzung jedermann in Reichweite des Funknetzwerks. Ist das WLAN öffentlich, wie etwa der Hotspot im Lieblingscafe, kann der Schnüffler anhand der von WhatsApp übertragenen Datenpakete auch noch die Rufnummer des Nutzers herausfinden und dessen Account kinderleicht übernehmen – ohne sein Opfer überhaupt kennen zu müssen. Das ist umso unverständlicher, als dass es ja bereits ein personalisiertes gemeinsames Geheimnis zwischen WhatsApp und dem Nutzer gibt: den bei der Anmeldung via SMS verschickten Bestätigungscode.
In unserem Test konnten wir sowohl die Accounts von Android- als auch von iOS-Nutzern mit Hilfe der PHP-basierten WhatsApp-API WhatsAPI benutzen. Und das war erschreckend einfach: Wir mussten lediglich Rufnummer und MAC-Adresse bzw. IMEI in ein mitgeliefertes Skript eintragen und konnten anschlieĂźend ĂĽber die Eingabeaufforderung beliebige Nachrichten in dessen Namen verschicken. Absender war stets die Rufnummer des kompromittierten Accounts.
Das Skript bietet darüber hinaus einen Konversationsmodus, über den wir Nachrichten sowohl senden als auch empfangen konnten. Die verschickten Nachrichten tauchten nicht auf dem Smartphone des Account-Besitzers auf. Auch die eingehenden Antworten empfängt er nicht, solange das Skript läuft.
Unser Experiment zeigt, dass man WhatsApp derzeit nur mit Vorsicht benutzen sollte. iPhone-Anwender sollten den Dienst nicht in öffentlichen Netzen benutzen, um es Datenschnüfflern nicht unnötig leicht zu machen. Davor, dass Personen aus dem unmittelbaren Umfeld, etwa Kollegen, den Account übernehmen, kann man sich freilich nicht schützen – in der Regel kommen diese sowohl an die Handynummer als auch die IMEI respektive MAC-Adresse.
Wurde der Account übernommen, ist man ausgeliefert; es gibt derzeit keine Möglichkeit, das Passwort zu ändern und den Datenschnüffler dadurch auszusperren. Jetzt liegt es an WhatsApp, seine Nutzer zu schützen.
Im Übrigen gibt es inzwischen auch Hinweise darauf, dass WhatsApp auch bei der Erzeugung der Schlüssel für die Verschlüsselung der Nachrichten geschlampt hat. So behauptet eine anonyme, bislang unbestätigte Analyse, dass sich der Schlüssel zumindest bei der iOS-Version leicht ermitteln lässt. (rei)