1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

WhatsApp-Verschlüsselung: Sicherheit geht anders

Dieses Thema im Forum "Handy - Navigation News" wurde erstellt von josef.13, 9. September 2012.

  1. josef.13
    Offline

    josef.13 Modlehrling Newsbereich Digital Eliteboard Team Modlehrling

    Registriert:
    1. Juli 2009
    Beiträge:
    15.621
    Zustimmungen:
    15.206
    Punkte für Erfolge:
    113
    Ort:
    Sachsen
    Die

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    des Smartphone-Messengers WhatsApp haben zwar kürzlich eine Verschlüsselung der Nachrichten in ihr Programm

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , diese bietet allerdings nur einen rudimentären Schutz vor unbefugten Mitlesern. Das

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    der niederländische

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    Sam Granger.

    Dieser hat sich das Kryptographie-Verfahren etwas genauer angesehen. Demnach beruht die

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    auf dem populären Protokoll XMPP. Dieses bietet an sich eine ordentliche Verschlüsselung an. Das Problem bei WhatsApp besteht aber im Passwort, aus dem der Schlüssel erzeugt wird.

    Zumindest unter Android greift man hier schlicht auf die IMEI-Nummer des jeweiligen Smartphones zurück. Dabei handelt es sich um eine einzigartige Seriennummer jedes Handys. Diese ist an sich kein Geheimnis und kann durch einen Angreifer, der es ernst meint, problemlos herausgefunden werden.

    Allerdings ist die IMEI nicht direkt das Passwort. Laut Granger wird die Zahlenfolge herumgedreht und dann aus ihr ein MD5-Hash erzeugt. Dieser dient dann als das eigentliche Passwort. Offenbar wurde so versucht, zu verschleiern, dass die Verschlüsselung sehr einfach aufgebrochen werden kann.

    An die IMEI selbst kommt ein Angreifer sehr einfach, wenn er direkten Zugang zum Telefon hat. In größerem Stil ließen sich Nummern-Sammlungen anlegen, in dem man eine App verteilt, die die Information dann im Hintergrund ausliest und nach außen schickt. Wie Granger mitteilte, ist es wahrscheinlich, dass auf anderen

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    als Android ähnliche Methoden zum Einsatz kommen. Bei iOS könnte neben der IMEI beispielsweise die von Apple eingesetzte UDID genutzt werden.

    Anwender sollten also möglichst keine vertraulichen Informationen via WhatsApp verschicken. Die Möglichkeit, die Verschlüsselung zu umgehen, lässt sich allerdings nicht nur zum Belauschen der Kommunikation nutzen. Auch Spammer dürften ein Interesse daran haben, sich problemlos als andere Nutzer ausgeben zu können. [​IMG]

    Quelle: winfuture.de
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. josef.13
    Offline

    josef.13 Modlehrling Newsbereich Digital Eliteboard Team Modlehrling

    Registriert:
    1. Juli 2009
    Beiträge:
    15.621
    Zustimmungen:
    15.206
    Punkte für Erfolge:
    113
    Ort:
    Sachsen
    Massive Sicherheitslücken in WhatsApp

    Die neu eingeführte Verschlüsselung der Nachrichten kann bereits übergangen werden. Außerdem können Accounts aufgrund unzureichender Sicherheitsmaßnahmen sehr leicht geknackt werden. Besonders betroffen scheinen Android- und iOS-Nutzer.

    Wie im Blog

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    gezeigt wird, können die Sicherheitsvorkehrungen in der App WhatsApp sehr leicht übergangen werden. Bis vor wenigen Wochen wurden Nachrichten noch komplett unverschlüsselt übertragen und konnten theoretisch von jedem Nutzer im gleichen WLAN-Netz mitgelesen werden. Als Reaktion darauf hat WhatsApp ein Update veröffentlicht, ab dem Nachrichten verschlüsselt werden. Diese Verschlüsselung wurde mittlerweile bereits geknackt.
    Die Telefonnummern der Nutzer (die gleichzeitig auch als Username fungieren) werden außerdem standardmäßig weiterhin in Klartext, also unverschlüsselt, übertragen. Die Authentifizierung bei den WhatsApp-Servern ist laut fileperms ein „sicherheitstechnischer Albtraum". Das benötigte Passwort wird unter Android dabei aus der umgedrehten Seriennummer (IMEI) des Telefons generiert. Angreifer könnten die Nummer entweder vom Gerät, oder über eine Malware auslesen.

    iOS

    Unter iOS ist die Sicherheitssituation offenbar noch dramatischer. Das Passwort werde aus der MAC-Adresse des WLAN-Adapters generiert. Jene kann von einem Angreifer, der sich im gleichen WLAN-Netz befindet, sehr einfach ausgelesen werden. Um sich zu schützen, sollten iPhone- und iPad-Nutzer WhatsApp grundsätzlich nicht in öffentlichen WLAN-Netzen nutzen.

    API

    Über die API können Angreifer mit Nutzername und Passwort Nachrichten im Namen des jeweiligen Nutzers versenden. Die Lücken wurde auch von

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    überprüft und bestätigt. WhatsApp hat derzeit noch keine Stellungnahme zu den Vorwürfen abgegeben.
    Wie die Sicherheitssituation in den WhatsApp-Versionen für BlackBerry, Symbian und WindowsPhone aussieht, beziehungsweise wie dort das benötigte Passwort generiert wird, ist derzeit noch nicht bekannt.

    Es ist nicht das erste Mal, dass WhatsApp in den Fokus von Kritik kommt. So wurde in der Vergangenheit immer wieder Kritik an den Sicherheitsvorkehrungen geübt. Zeitweise wurde die App aufgrund der Gefahren auch aus dem iOS-AppStore und dem Windows-Phone-Marketplace genommen, jeweils kurz danach aber wieder online gestellt.

    Quelle: futurezone
     
    #2

Diese Seite empfehlen