taz.de -- Sicherheitslücken bei WhatsApp: Löchrige Kommunikation

Beim Versuch besonders einfach zu bleiben, ist der SMS-Ersatz WhatsApp auch besonders unsicher geraten. Kaum ist eine Lücke geschlossen, tut sich die nächste auf.
Bild: What's up, WhatsApp? Keine Antwort.

KÖLN taz | Die Kommunikation mit der Außenwelt haben die Macher von WhatsApp weitgehend eingestellt. Die Firma, zu deren Leidenschaften laut Unternehmensdarstellung die Kommunikation gehört, hat auf ihrer Unternehmenswebseite kaum etwas Neues zu berichten. Die letzte Meldung im Unternehmensblog stammt vom Juni, auf Twitter werden nur ab und an Statusmeldungen veröffentlicht.

Dabei gäbe es viel zu bereden. Seit im September bekannt wurde, dass es sehr einfach war, fremde Accounts zu übernehmen, machen sich viele Nutzer Gedanken über die Sicherheit des Dienstes. Doch das Unternehmen, das täglich über 10 Milliarden Nachrichten für seine Kunden verschickt, hielt es nicht nötig, seine Nutzer zu informieren. Dabei [1][war die Lücke enorm]: Wer wollte, konnte einfach auf einer Webseite den Account eines anderen WhatsApp-Nutzers übernehmen, in dessen Namen Nachrichten verschicken.

Dem Dienst kam eine seiner größten Stärken in die Quere: WhatsApp ist auf Einfachheit fixiert. Nutzer müssen nicht mal ein Passwort eingeben oder ihre Kommunikationspartner hinzufügen – einmal installiert, lädt das Programm das Adressbuch des Smartphones auf die Server von Whatsapp hoch und identifiziert die Nutzer, die ebenfalls die Anwendung installiert haben. Folge: Sofort kann der Nutzer Kurznachrichten an seine Freunde und Bekannten senden.

Doch die Einfachheit hat eine Kehrseite. WhatsApp hat die Nachrichtenübermittlung nicht neu erfunden, sondern setzt auf die bewährte XMPP-Technik, die zum Beispiel auch Google für seine Messenger-Dienste einsetzt. Wer sich mit einem gewöhnlichen Chat-Programm bei den WhatsApp-Servern mit Handynummer und Passwort ausweist, kann einen Account übernehmen. Doch da der Nutzer gar kein Passwort gesetzt hat, berechnet das Programm kurzerhand einen Schlüssel aus der Handynummer und der IMEI-Nummer, die jedes Handy eindeutig ausweist.

Doch diese Nummer ist relativ einfach auszulesen: Bei vielen Handys reicht es, den Code *#06# in die Telefontastatur einzugeben und die IMEI wird angezeigt. Auch App-Entwickler können die IMEI eines Smartphones abrufen. Ist diese Nummer einmal bekannt, hat ein potenzieller Angreifer alle Möglichkeiten, den WhatsApp-Account des Besitzers zu übernehmen.

Daran wird sich wohl so schnell nichts ändern. Zwar hatte der Dienst in einem Update im Oktober heimlich die Einlog-Prozedur so verändert, dass frühere Übernahmemethoden nicht mehr klappten, aber [2][wie Heise Security berichtet], wurde nun eine neue Methode bekannt, wie sich fremde Accounts übernehmen lassen.

Keine Antwort für Journalisten

Als die Journalisten WhatsApp von der Lücke informierten, ließ das Unternehmen die Redaktion mehrere Tage im Unklaren, ob die Botschaft überhaupt angekommen war. Wann das Problem gelöst werden soll, verrät WhatsApp nicht. „Wenn man Revue passieren lässt, wie WhatsApp bislang mit dem Thema Sicherheit umgegangen ist, kann man eigentlich nur noch von der Nutzung des Dienstes abraten“, schreibt Heise Security.

Für WhatsApp kommen die Berichte über Sicherheitslücken ungelegen. Bei vielen Nutzern erscheint mittlerweile die Nachricht, dass der kostenlose Nutzungszeitraum abgelaufen sei und nun eine Jahresgebühr von 99 US-Cent fällig sei. Da der Dienst werbefrei ist, ist dies die einzige Einnahmequelle. Wer WhatsApp jedoch kein Geld überweist, bekommt in der Regel kurz vor Ablauf der Frist eine kostenlose Verlängerung. WhatsApp lebt davon, dass möglichst viele Nutzer über den Dienst erreichbar sind – würden plötzlich Millionen Nicht-Zahlungswilliger verschwinden, würde der Dienst deutlich unattraktiver.

WhatsApp ist nicht der einzige Chat-Dienst mit Sicherheitsproblemen. So war auch bei Skype über Monate eine Accountübernahme [3][relativ einfach möglich]. Doch als die Lücke Mitte November bekannt wurde, hat das nun zu Microsoft gehörende Unternehmen die entsprechenden Einlog-Prozeduren geändert und zumindest die Presse informiert.

30 Nov 2012

LINKS

[1] /SMS-Ersatz-und-Datenschutz/!101896/
[2] http://www.heise.de/newsticker/meldung/Erneut-Account-Klau-bei-WhatsApp-moeglich-1756224.html
[3] http://www.heise.de/security/meldung/Account-Klau-bei-Skype-leichtgemacht-1749875.html

AUTOREN

Torsten Kleinz

TAGS

WhatsApp
Smartphone
Sicherheitslücken
Pr
Skype
Datenschutz

ARTIKEL ZUM THEMA

10 Jahre Skype: „Hörst Du mich?“

Skype wird zehn Jahre alt. Millionen Menschen telefonieren über den Computer miteinander – und fluchen über die Verbindungsqualität.

Sicherheitsrisiko Smartphone: Die Furcht vor den Apps

Nutzer wünschen sich „saubere“ Apps, Unternehmen viele Daten. Verbraucherministerin Aigner reagiert nur sehr verhalten auf Datenschutzbedenken.

SMS-Ersatz und Datenschutz: Sicherheitslücken bei WhatsApp

Mit WhatsApp werden kostenlos Milliarden von SMS verschickt. Doch bei der Anwendung für Handy-Betriebssysteme gibt es Mängel.

Smartphone-Software „Joyn“: Herz-Lungenmaschine für die SMS

Die Mobilfunkanbieter verlieren Geld, weil immer mehr Nutzer statt überteuerter SMS billige Kommunikationsdienste wie iMessage oder WhatsApp nutzen. Nun kommt der Gegenschlag.