Update behebt kritische Sicherheitslücken in Smartphone-Messenger
Durch Manipulationen von WhatsApp für iPhone kann ein Angreifer beliebig Nachrichten fälschen und belauschen. Die neue Version schließt die Lücken.
- Ute Roos
Seit heute steht in Apples App Store eine aktualisierte Version der iPhone-App "WhatsApp Messenger" zum Download bereit. Der Hersteller behebt darin zahlreiche kritische Sicherheitslücken, die neben dem Versenden gefälschter Nachrichten ebenfalls das Mitlesen von Nachrichten beliebiger Benutzer erlauben.
WhatsApp Messenger ist ein plattformübergreifender Dienst (erhältlich für iPhone, BlackBerry, Android und Nokia Symbian60) zum Austausch von Nachrichten. Da die Daten dabei über das Internet übertragen werden, entstehen bei der Nutzung von WhatsApp je nach Datentarif des Mobilfunkvertrags keine zusätzlichen Kosten. Viele Anwender nutzen diesen Dienst daher als Alternative zum SMS-Versand. In 16 von 22 Ländern befindet sich der WhatsApp Messenger innerhalb der Top 10 der meistgekauften Apps.
Um die Nutzung des Dienstes möglichst einfach zu gestalten, erfolgt die Vermittlung der Nachrichten anhand der Mobilfunknummern der Teilnehmer. Dazu gleicht die App nach der Installation die Telefonnummern im eigenen Adressbuch mit einem globalen Adressbuch auf den WhatsApp-Servern ab. Eigene Kontakte, die bereits den WhatsApp Messenger nutzen, werden daraufhin als Favoriten angezeigt und können über den Dienst direkt kontaktiert werden.
Allein dieses Vorgehen ist aus Datenschutzsicht bereits bedenklich. Hinzu kommen die neu entdeckten Schwachstellen: Durch gezielte Manipulationen der Kommunikation zwischen App und Webservice-Backend während des Registrierungsprozesses ist es möglich, beliebige Mobilfunknummern und zugehörige Benutzerkonten zu übernehmen, berichtet der Entdecker der Schwachstellen, Andreas Kurtz. Es sei somit möglich, Nachrichten beliebiger WhatsApp-Nutzer mitzulesen oder Nachrichten unter gefälschter Identität zu versenden. Details beschreibt Kurtz in einem Blogeintrag.
Die übrigen von WhatsApp unterstützten Plattformen sind nach Aussage des Herstellers nicht verwundbar, da hier bereits ein neuer Registrierungsmechanismus eingesetzt wurde. Da der Messenger damals zunächst für die iPhone-Plattform entwickelt wurde, sei hier noch veralteter Code verwendet worden. Durch die Schwachstelle in der iPhone-Variante waren aber auch Nutzer anderer Plattformen angreifbar.
(ur)
