„Bereits länger sind die Schwachstellen in der populären Messenger-Anwendung Whatsapp bekannt. Durch sie lassen sich unbefugt Nachrichten in fremdem Namen verschicken und empfangen. Der Programmierer Sascha Gehlich hat nun einen Webclient programmiert und zeigt sich schockiert über zahlreiche offenen Lücken.
Wenn Whatsapp in letzter Zeit überhaupt positiv aufgefallen ist, dann war das nicht wegen der Sicherheit. Bereits länger kursieren Skripte im Netz, mit denen es problemlos möglich ist, in fremdem Namen Nachrichten zu verschicken und zu empfangen. Bisher brauchte man dafür allerdings zumindest rudimentäre Programmierkenntnisse. Der Entwickler Sascha Gehlich hat nun einen Webclient geschrieben, mit dem sich das Verschicken von Nachrichten von fremden Accounts deutlich vereinfacht. Sämtliche Informationen, die benötigt werden, sind die Telefonnummer und die MAC-Adresse, beziehungsweise IMEI. Diese Informationen reichen Whatsapp für eine Authentifizierung, ein Passwort wird nicht verlangt.Eine andere altbekannte Schwachstelle der populären Messenger-Anwendung ist, dass Nachrichten unverschlüsselt im Netzwerk übertragen werden. Gerade bei öffentlichen Hotspots besteht deswegen die Gefahr, dass sämtliche Nachrichten aller sich im Netz befindenden Personen mitgelesen werden können. Diese Personen können ebenfalls wie MAC-Adresse sehen, mit der sich Nachrichten von fremden Accounts aus schicken lassen. Diese Sicherheitslücke wurde bis heute nicht behoben.
Doch nicht nur die Nachrichten selbst sind unsicher; auch Bilder können von jeder Person betrachtet werden, die sich im selben Netzwerk wie das Opfer aufhält. Anstatt ein Bild nämlich direkt an das Gerät des Gesprächspartners zu senden, lädt es die App auf einen Server hoch und verschickt anschließend ein Thumbnail und einen Link. Da dieser Link ebenfalls im Klartext zu sehen ist, kann jeder das Bild aufrufen. Dazu reichen einfache Programme wie wireshark. Ein solcher Link sieht dann etwa so aus: https://mms604.whatsapp.net/d2/21/12/6/3/xxx.jpg
"Die Lücken sind erschreckend. Du glaubst nicht, wie oft ich den Kopf geschüttelt habe, als ich den Webclient geschrieben habe."
Sascha Gehlich bemerkt im Gespräch mit gulli.com, dass das Opfer übrigens nicht einmal bemerken muss, dass seine Koversation belauscht wird: "WhatsApp erwartet, dass man nach dem Empfangen einer Nachricht eine Empfangsbestätigung zurückschickt. Schickt man diese mit, so erscheint die Nachricht nach dem Schließen der Verbindung nicht auf dem Handy. Schickt man diese nicht mit, so kommen die Nachrichten trotzdem beim Handy an."“
Keine Kommentare:
Kommentar veröffentlichen