Der WhatsApp-Fotobuchanbieter Zapptales steht in der Kritik. Durch ein Leck in der Desktop-Software des Anbieters waren 69.000 Chats frei im Netz zugänglich.
Zapptales erlaubt es euch euren WhatsApp-Chat als Fotobuch zu drucken. (Quelle: Netzwelt)
Nachdem Zerforschung ihren Fund dem Bayerischen Landesamt für Datenschutzaufsicht gemeldet und dieses Zapptales informiert hatte, wurde das Leck umgehend geschlossen. Zudem haben Nachforschungen laut Anbieter ergeben, dass die Lücke nicht aktiv ausgenutzt wurde.
"So wäre es technisch möglich die Daten weitestgehend zu verschlüsseln, sodass zapptales bis zum finalen Druckauftrag keinen Einblick in die Chats hat. Dann hätten wir in diesem Fall auch nur einen Eimer voller verschlüsselter Dateien gefunden, mit denen wir nichts anfangen können", schreibt die Gruppe auf ihrer Webseite. Zudem sei es kritisch, dass Kontakte, nicht prüfen könnte, ob ihre Chats hochgeladen wurden.
Zapptales selbst hat die Sicherheitslücke in einem Blogpost bestätigt und verspricht eine weitere Erhöhung der Sicherheitsvorkehrungen.
Quelle: netzwelt
Du musst angemeldet sein, um Bilder zu sehen.
Zapptales erlaubt es euch euren WhatsApp-Chat als Fotobuch zu drucken. (Quelle: Netzwelt)
- Der Anbieter Zapptales ermöglicht es euch Fotobücher von euren WhatsApp-Chats zu erstellen.
- Ein Bug in der Desktop-Software erlaube es auf die hochgeladenen Chats zuzugreifen.
- Die Lücke wurde geschlossen. Forscher sehen den Anbieter dennoch weiter kritisch.
Lücke wurde NICHT ausgenutzt
Das Problem: Im Quellcode der Software war ein so genannter Token enthalten, dieser dient zur Authentifizierung von Nutzern. In diesem Fall ermöglichte er es der Gruppe aber Zugang zum Cloudspeicher des Anbieters. Dort hatten die Sicherheitsforscherinnen und -forscher Zugriff auf die unverschlüsselt gespeicherten Chats, Sprachnachrichten und Bilder, die von WhatsApp-Nutzern hochgeladen worden waren. Auf satte 21 Terabyte an Daten konnten sie zugreifen.Nachdem Zerforschung ihren Fund dem Bayerischen Landesamt für Datenschutzaufsicht gemeldet und dieses Zapptales informiert hatte, wurde das Leck umgehend geschlossen. Zudem haben Nachforschungen laut Anbieter ergeben, dass die Lücke nicht aktiv ausgenutzt wurde.
Zerforschung übt weiter Kritik
Auch wenn die Lücke schnell geschlossen wurde, sieht Zerforschung das Vorgehen von Zapptales weiterhin kritisch. So verspreche der Anbieter eine verschlüsselte Übertragung der Daten. Tatsächlich erfolgt der Upload auch per SSL verschlüsselt. Allerdings reicht dies den Forschern nicht."So wäre es technisch möglich die Daten weitestgehend zu verschlüsseln, sodass zapptales bis zum finalen Druckauftrag keinen Einblick in die Chats hat. Dann hätten wir in diesem Fall auch nur einen Eimer voller verschlüsselter Dateien gefunden, mit denen wir nichts anfangen können", schreibt die Gruppe auf ihrer Webseite. Zudem sei es kritisch, dass Kontakte, nicht prüfen könnte, ob ihre Chats hochgeladen wurden.
Zapptales selbst hat die Sicherheitslücke in einem Blogpost bestätigt und verspricht eine weitere Erhöhung der Sicherheitsvorkehrungen.
Quelle: netzwelt
