WhatsApp soll auch unter iOS Passwörter zu simpel erzeugen

Der beliebte SMS-Ersatz WhatsApp soll auch unter iOS das zur Anmeldung genutzte Passwort auf sehr primitive Weise generieren: Laut dem italienischen Blog Ezio Amodio nimmt der Client hier einfach die MAC-Adresse der WLAN-Schnittstelle doppelt und erzeugt daraus einen MD5-Hash: md5(AA:BB:CC:DD:EE:FFAA:BB:CC:DD:EE:FF).

Belegen soll dies ein Auszug aus dem disassemblierten Code der iPhone-App. Sollten sich die Behauptungen bewahrheiten, wäre dies ein echtes Sicherheitsproblem: Zur Authentifizierung nutzt WhatsApp nämlich nur die Rufnummer des Nutzers und das automatisch generierte Passwort. Nutzt man die App etwa am Hotspot, können die anderen WLAN-Nutzer diese Informationen problemlos mitlesen – und könnte damit potenziell auch dauerhaft den Account übernehmen.

Die MAC-Adresse ist im Netzwerk ohnehin öffentlich und die Rufnummer steht – trotz der kürzlich eingeführten Nachrichtenverschlüsselung – im Klartext in den übertragen Nachrichten, wie ein Test von heise Security ergab. Unter Android nutzt WhatsApps statt der MAC-Adresse die IMEI des Smartphones, um das Passwort zu generieren. (rei)