langhard.com - Family Blog

Home Twitter Contact me RSS
formats

Fragwürdige Sicherheitmechanismen bei WhatsApp

Unschöne Entdeckung beim beliebten SMS-Ersatz-Dienst WhatsApp, welcher sich unter diversen Smartphone Betriebsystemen unzählige Anhänger gemacht hat.
Wie kürzlich bekannt wurde, ist der Anmeldevorgang am WhatsApp-Backend-Server relativ leicht auszuhebeln, da alle dafür benötigten Informationen für Dritte relativ einfach erreichbar sind.

So ist beispielsweise unter iOS nur die MAC-Adresse der WLAN-Schnittstelle sowie die Mobilnummer des Benutzers von nöten, um sich gegenüber WhatsApp zu authentifizieren.

Die Mobilnummer gilt dabei als Login-Name, die Mac-Adresse des Geräts bildet das Passwort indem diese doppelt aneinandergehängt und mittels MD5 verschlüsselt wird.

md5(AA:BB:CC:DD:EE:FF:AA:BB:CC:DD:EE:FF)

Unter Android wird das ganze sehr ähnlich gehandhabt. Dort wird jedoch die IMEI-Nummer des Mobiltelefons anstelle der MAC-Adresse verwendet, was noch ein klein wenig besser ist, da die IMEI-Nummer nicht in jedem WLAN-Netzwerk öffentlich verfügbar ist.

Durch diese eher einfach zu Umgehenden Sicherheitsmassnahmen könnte es einem potentiellen Angreifer beispielsweise gelingen, ganze Accounts zu übernehmen und Nachrichten unter falschem Namen zu versenden und empfangen.

Man darf hoffen, dass WhatsApp die Sicherheitsmängel bald mit einem Update nachbessert. Bis zum jetztigen Zeitpunkt wurde noch keine ofizielle Stellungsnahme bekanntgegeben.