WhatsApp macht sich Authentifizierung leicht

Das mobile Messaging-Programm WhatsApp verwendet in seiner Android-Version die eindeutige Gerätekennung zum Identifizieren des Nutzers. Das ist leicht zu missbrauchen.

In Pocket speichern vorlesen Druckansicht 229 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christian Kirsch

Erst vor kurzem hat der beliebte SMS-Konkurrent WhatsApp eine Verschlüsselung eingeführt. Jetzt berichtete der britische Webentwickler Sam Granger, wie die Authentifizierung bei dem Webfrontend des Dienstes unter Android stattfindet: Das Programm bedient sich der eindeutigen Gerätekennung (IMEI), um daraus einen einfach regenerierbaren Schlüssel zu erzeugen.

Laut Granger verwende WhatsApp schlicht die umgedrehte IMEI und erzeuge daraus ohne weiteren "Salt " einen MD5-Hash. Da als Benutzername die Telefonnummer fungiere, könnten Angreifer die erforderlichen Daten leicht mit üblichen Android-Schnittstellen ermitteln. Ein Programm zum Ermitteln der IMEI und der Telefonnummer sei schnell geschrieben und unter falschem Vorwand bei Google Play eingestellt.

Anschließend sei es möglich, den WhatsApp-Dienst mit diesen Zugangsdaten zu nutzen, schreibt Granger weiter. Zwar gibt es offiziell keine API dafür, doch im Netz findet sich Software, die Zugang zu den WhatsApp-Webservices verspricht. Damit könnte es möglich sein, Nachrichten zu versenden, die scheinbar vom Nutzer des geknackten Accounts stammen.

Bisher gibt es noch keine Informationen, wie WhatsApp die Authentifizierung auf anderen Plattformen abwickelt. Apples iOS etwa bietet anders als Android keine offizielle Schnittstelle, mit der sich die IMEI ermitteln lässt. Die Telefonnummer, also den Benutzernamen, verschickt das Programm übrigens trotz der kürzlich eingeführten Verschlüsselung weiterhin im Klartext.

WhatsApp benutzt eine Variante des XMP-Protokolls für den Nachrichtenaustausch, das viele Instant Messenger verwenden. Die App läuft auf allen relevanten Mobil-Plattformen.

Siehe dazu auch:

(ck)