Lade Daten...
29.11.2012
Schrift:
-
+

SMS-Ersatz

Sicherheitslücke bringt WhatsApp in Verruf

Von
dapd

WhatsApp-Icon: Experten raten von der Nutzung des beliebten Nachrichten-Dienstes ab

Der SMS-Ersatz WhatsApp macht schon wieder Schlagzeilen wegen einer gravierenden Sicherheitslücke. Nutzerkonten lassen sich auch in der neuen Version der App ohne große Probleme kapern: Die Seriennummer eines Smartphones reicht aus, um sich den darauf installierten Account zu schnappen.

Gerade einmal zwei Monate ist es her, dass Sicherheitsexperten vor dem populären SMS-Ersatz WhatsApp warnten. Die Software wies eine schwere Sicherheitslücke auf. Angreifer konnten sich auf Smartphones Zugang zum Programm verschaffen; dazu benötigten sie lediglich bei iOS-Geräten deren MAC-Adresse und bei Android-Handys deren Seriennummer (IMEI). Diese Daten genügten, um automatisch das Anmeldepasswort für den WhatsApp-Server zu erzeugen. Die WhatsApp-Macher versprachen Besserung, mit der Programmversion 2.8.7326 der Nachrichten-App sollte das Problem eigentlich behoben sein.

Doch nun berichtet "heise Security", schon wieder sei es möglich, ein WhatsApp-Profil ohne besondere Umstände zu übernehmen. Die Vorgehensweise soll dem Bericht zufolge dem im September entdeckten Prozedere sehr ähnlich sein. Für einen erfolgreichen Angriff wird demnach nur die Seriennummer des Handys benötigt und zusätzlich die Handynummer. Ein spezielles Skript, das "heise Security" von einem Leser zur Verfügung gestellt worden sei, generiere das vom WhatsApp-Server geforderte Passwort.

Dieses für Android-Smartphones ausgelegte Verfahren funktioniere jedoch ebenfalls für Geräte mit anderen Betriebssystemen. Ein Test habe ergeben, dass auch iOS-Geräte nicht sicher seien, sondern die Übernahme des WhatsApp-Profils ermöglichten.

Lieber wieder SMS verschicken

Laut "heise" geben die in Kalifornien ansässigen Betreiber des Dienstes keinerlei Informationen über den aktuellen Stand der Sicherheitsbemühungen. Obwohl WhatsApp Inc. Bereits vor Tagen über das Leck informiert worden sei, habe das Unternehmen lediglich beantwortet, welche App-Version betroffen sei - und sonst nichts von sich hören lassen. Selbst das Angebot, sämtliche Details über die Kapermöglichkeit inklusive des dafür genutzten Scripts zur Verfügung zu stellen, sei ohne Reaktion geblieben. Eine Haltung, die für "heise" unter dem Motto "Security through Obscurity" (etwa: Sicherheit durch Verschwiegenheit) steht.

Unterm Strich gelte ein eindeutiges Fazit: Angesichts der bisherigen Erfahrungen mit dem Umgang von WhatsApp mit dem Thema Sicherheit könne von der Nutzung nur abgeraten werden. Alternativen gebe es schließlich genug, von Skype über Facebook bis hin zur guten, alten SMS.

Forum

Diskutieren Sie über diesen Artikel
insgesamt 43 Beiträge
1. hm
felisconcolor 29.11.2012
zumal ich ja auch die Seriennummer meines Handys auf der Stirn tätowiert habe. Sicher ist WhatsApp nicht der Hort der IT Sicherheit aber ich denke es gibt wichtigere Baustellen. Denn wenn die behoben wären könnte [...]
Zitat von sysopdapdDer SMS-Ersatz WhatsApp macht schon wieder Schlagzeilen wegen einer gravierenden Sicherheitslücke. Nutzerkonten lassen sich auch in der neuen Version der App ohne große Probleme kapern: Die Seriennummer eines Smartphones reicht aus, um sich den darauf installierten Account zu schnappen. http://www.spiegel.de/netzwelt/apps/whatsapp-konten-koennen-schon-wieder-gekapert-werden-a-869916.html
zumal ich ja auch die Seriennummer meines Handys auf der Stirn tätowiert habe. Sicher ist WhatsApp nicht der Hort der IT Sicherheit aber ich denke es gibt wichtigere Baustellen. Denn wenn die behoben wären könnte whatsapp auch alles im Klartext senden, es würde eh nicht mehr wirken. Und wer Passwörter oder ähnliches per Whatsapp verschickt... ...dem ist eh nicht mehr zu helfen.
2. Danke ...
hyperlord1337 29.11.2012
... aber ich lese heise online. Arbeiten Sie für beide Online Redaktionen? Dort bekommt man ja mittlerweile auch Infos darüber, was die Spiegel Group so alles plant. Wer schreibt bei wem ab?
... aber ich lese heise online. Arbeiten Sie für beide Online Redaktionen? Dort bekommt man ja mittlerweile auch Infos darüber, was die Spiegel Group so alles plant. Wer schreibt bei wem ab?
3. Ist ja dramatisch...
Gort 29.11.2012
Wie soll denn bitte ein Unbefugter an die Seriennummer des Handys kommen? Was soll diese Panikmache?
Wie soll denn bitte ein Unbefugter an die Seriennummer des Handys kommen? Was soll diese Panikmache?
4. Alternativen gibt es genug
sorentino 29.11.2012
Ich benutze Kakaotalk damit ist auch kostenlos telefonieren möglich. 100% Sicherheit gibt es nicht, aber man kann es denen zumindest schwer machen WhatsApp Alternativen: Mobil und sicher mit Freunden chatten - Eins.FM: [...]
Ich benutze Kakaotalk damit ist auch kostenlos telefonieren möglich. 100% Sicherheit gibt es nicht, aber man kann es denen zumindest schwer machen WhatsApp Alternativen: Mobil und sicher mit Freunden chatten - Eins.FM: Internetradio mit Chart- und Netzmusik (http://www.eins.fm/2012/09/20/whatsapp-alternativen-mobil-und-sicher-mit-freunden-chatten/)
5. Sms
mehmetyildirim88 29.11.2012
Ich verstehe sowieso nicht, wieso so viele Leute WhatsApp benutzen. Mittlerweile werden einem SMS-Flatrates hinterhergeschmissen. Und auditives bzw. visuelles Material kann man notfalls immer noch per Mail schicken...
Ich verstehe sowieso nicht, wieso so viele Leute WhatsApp benutzen. Mittlerweile werden einem SMS-Flatrates hinterhergeschmissen. Und auditives bzw. visuelles Material kann man notfalls immer noch per Mail schicken...

Zum Autor

  • Richard Meusers schreibt als Autor für SPIEGEL ONLINE über die Digitalisierung.

Verwandte Themen

Konkurrenz zur SMS

Artikel

News verfolgen

Lassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter RSS
alles zum Thema Smartphones
RSS
Rubriken

© SPIEGEL ONLINE 2014 Alle Rechte vorbehalten