Achtung WhatsApp Nutzer. Ihr seid nicht sicher!!!
Achtung WhatsApp Nutzer. Ihr seid nicht sicher!!!
Die Entwickler von WhatsApp scheinen sich in einem Teufelskreis gefangen zu haben. Die haben im Moment scheinbar Riesenarbeit mit dem Schliessen von Sicherheitslücken zu haben.
Aber mal von Vorne. Ein paar Entwickler haben am 25. Sept. festgestellt, dass WhatsApp über einen unzureichenden Authentifizierungsmechanismus besitzt. Das Password, das die App benutzt um seine Benutzer zu erkennen, setzt sich auf Android-Systemen aus der IMEI Nummer und auf iOS Geräten aus der MAC-Addresse des WLAN Interfaces zusammen.
Warum ist das schlecht? Ganz einfach. Zum Ersten lassen sich diese Daten sehr leicht beschaffen. Man schalte im Zug einen Netzwerkschnüffler ein und kriegt bereits alle Passwörter von den iOS Geräten... Die IMEI ist zwar nicht so leicht zu beschaffen, aber der Aufwand hält sich auch hier in einem sehr geringen Mass.
Zum Zweiten ist es generell übel, dass ein Dienst, der theoretisch auf mehreren Geräten laufen sollte, sich via Hardware authentifiziert. Ihr könnt euch so langsam vorstellen, wenn ich meine SIM-Card in ein Ersatzgerät stecke und von dort aus WhatsApp nutzen will. Aber das sei nur so nebenbei mal erwähnt.
Das Team von WhatsApp hat sich natürlich daran gemacht, diese Lücke zu schliessen. Aber die Jungs haben wohl vergessen, es den Nutzern mitzuteilen. Die (mich leider eingeschlossen) haben nun einen Monat lang unwissentlich mit der Gefahr gelebt, dass ihr Account gestohlen werden könnte.
Doch kaum hat WhatsApp diese Lücke behoben, kommt der nächste an. Ein Leser von heise.de hat eine weitere Lücke gefunden, die eben genau die selben Eigenschaften hat wie die vorherige. Mit seinem Script braucht er lediglich die IMEI Nummer eines Android-Gerätes und die Rufnummer um einen Account zu übernehmen. iOS Geräte sind davon nicht befreit. Auch auf iPhone und Co findet sich die Lücke wieder.
Natürlich wurde WhatsApp darüber informiert. Die haben auch prompt nach weiteren Infos nachgefragt. Aber seit dem ist nichts mehr gelaufen. Sie wieder so aus als ob WhatsApp seine Kunden und die Öffentlichkeit wieder im dunkeln lassen will.
Sucht euch Alternativen, denen ihr mehr trauen könnt. Es gibt solche Dienste wie Sand am Meer. Ich persönlich stelle gerade auf mySMS um (natürlich muss ich noch meine Freunde davon überzeugen).
Die Entwickler von WhatsApp scheinen sich in einem Teufelskreis gefangen zu haben. Die haben im Moment scheinbar Riesenarbeit mit dem Schliessen von Sicherheitslücken zu haben.
Aber mal von Vorne. Ein paar Entwickler haben am 25. Sept. festgestellt, dass WhatsApp über einen unzureichenden Authentifizierungsmechanismus besitzt. Das Password, das die App benutzt um seine Benutzer zu erkennen, setzt sich auf Android-Systemen aus der IMEI Nummer und auf iOS Geräten aus der MAC-Addresse des WLAN Interfaces zusammen.
Warum ist das schlecht? Ganz einfach. Zum Ersten lassen sich diese Daten sehr leicht beschaffen. Man schalte im Zug einen Netzwerkschnüffler ein und kriegt bereits alle Passwörter von den iOS Geräten... Die IMEI ist zwar nicht so leicht zu beschaffen, aber der Aufwand hält sich auch hier in einem sehr geringen Mass.
Zum Zweiten ist es generell übel, dass ein Dienst, der theoretisch auf mehreren Geräten laufen sollte, sich via Hardware authentifiziert. Ihr könnt euch so langsam vorstellen, wenn ich meine SIM-Card in ein Ersatzgerät stecke und von dort aus WhatsApp nutzen will. Aber das sei nur so nebenbei mal erwähnt.
Das Team von WhatsApp hat sich natürlich daran gemacht, diese Lücke zu schliessen. Aber die Jungs haben wohl vergessen, es den Nutzern mitzuteilen. Die (mich leider eingeschlossen) haben nun einen Monat lang unwissentlich mit der Gefahr gelebt, dass ihr Account gestohlen werden könnte.
Doch kaum hat WhatsApp diese Lücke behoben, kommt der nächste an. Ein Leser von heise.de hat eine weitere Lücke gefunden, die eben genau die selben Eigenschaften hat wie die vorherige. Mit seinem Script braucht er lediglich die IMEI Nummer eines Android-Gerätes und die Rufnummer um einen Account zu übernehmen. iOS Geräte sind davon nicht befreit. Auch auf iPhone und Co findet sich die Lücke wieder.
Natürlich wurde WhatsApp darüber informiert. Die haben auch prompt nach weiteren Infos nachgefragt. Aber seit dem ist nichts mehr gelaufen. Sie wieder so aus als ob WhatsApp seine Kunden und die Öffentlichkeit wieder im dunkeln lassen will.
Sucht euch Alternativen, denen ihr mehr trauen könnt. Es gibt solche Dienste wie Sand am Meer. Ich persönlich stelle gerade auf mySMS um (natürlich muss ich noch meine Freunde davon überzeugen).
Achtung WhatsApp Nutzer. Ihr seid nicht sicher!!!
