Aktuelles
Von:
Filter
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Handy - Navigation WhatsApp-Verschlüsselung: Sicherheit geht anders

Die
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
des Smartphone-Messengers WhatsApp haben zwar kürzlich eine Verschlüsselung der Nachrichten in ihr Programm
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
, diese bietet allerdings nur einen rudimentären Schutz vor unbefugten Mitlesern. Das Link ist nicht mehr aktiv. der niederländische
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
Sam Granger.

Dieser hat sich das Kryptographie-Verfahren etwas genauer angesehen. Demnach beruht die
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
auf dem populären Protokoll XMPP. Dieses bietet an sich eine ordentliche Verschlüsselung an. Das Problem bei WhatsApp besteht aber im Passwort, aus dem der Schlüssel erzeugt wird.

Zumindest unter Android greift man hier schlicht auf die IMEI-Nummer des jeweiligen Smartphones zurück. Dabei handelt es sich um eine einzigartige Seriennummer jedes Handys. Diese ist an sich kein Geheimnis und kann durch einen Angreifer, der es ernst meint, problemlos herausgefunden werden.

Allerdings ist die IMEI nicht direkt das Passwort. Laut Granger wird die Zahlenfolge herumgedreht und dann aus ihr ein MD5-Hash erzeugt. Dieser dient dann als das eigentliche Passwort. Offenbar wurde so versucht, zu verschleiern, dass die Verschlüsselung sehr einfach aufgebrochen werden kann.

An die IMEI selbst kommt ein Angreifer sehr einfach, wenn er direkten Zugang zum Telefon hat. In größerem Stil ließen sich Nummern-Sammlungen anlegen, in dem man eine App verteilt, die die Information dann im Hintergrund ausliest und nach außen schickt. Wie Granger mitteilte, ist es wahrscheinlich, dass auf anderen
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
als Android ähnliche Methoden zum Einsatz kommen. Bei iOS könnte neben der IMEI beispielsweise die von Apple eingesetzte UDID genutzt werden.

Anwender sollten also möglichst keine vertraulichen Informationen via WhatsApp verschicken. Die Möglichkeit, die Verschlüsselung zu umgehen, lässt sich allerdings nicht nur zum Belauschen der Kommunikation nutzen. Auch Spammer dürften ein Interesse daran haben, sich problemlos als andere Nutzer ausgeben zu können.
252bbc93753f454db87838e01bb6e4f5


Quelle: winfuture.de
 
Zum Vergrößern anklicken....
Massive Sicherheitslücken in WhatsApp

Die neu eingeführte Verschlüsselung der Nachrichten kann bereits übergangen werden. Außerdem können Accounts aufgrund unzureichender Sicherheitsmaßnahmen sehr leicht geknackt werden. Besonders betroffen scheinen Android- und iOS-Nutzer.

Wie im Blog
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
gezeigt wird, können die Sicherheitsvorkehrungen in der App WhatsApp sehr leicht übergangen werden. Bis vor wenigen Wochen wurden Nachrichten noch komplett unverschlüsselt übertragen und konnten theoretisch von jedem Nutzer im gleichen WLAN-Netz mitgelesen werden. Als Reaktion darauf hat WhatsApp ein Update veröffentlicht, ab dem Nachrichten verschlüsselt werden. Diese Verschlüsselung wurde mittlerweile bereits geknackt.
Die Telefonnummern der Nutzer (die gleichzeitig auch als Username fungieren) werden außerdem standardmäßig weiterhin in Klartext, also unverschlüsselt, übertragen. Die Authentifizierung bei den WhatsApp-Servern ist laut fileperms ein „sicherheitstechnischer Albtraum". Das benötigte Passwort wird unter Android dabei aus der umgedrehten Seriennummer (IMEI) des Telefons generiert. Angreifer könnten die Nummer entweder vom Gerät, oder über eine Malware auslesen.

iOS
Unter iOS ist die Sicherheitssituation offenbar noch dramatischer. Das Passwort werde aus der MAC-Adresse des WLAN-Adapters generiert. Jene kann von einem Angreifer, der sich im gleichen WLAN-Netz befindet, sehr einfach ausgelesen werden. Um sich zu schützen, sollten iPhone- und iPad-Nutzer WhatsApp grundsätzlich nicht in öffentlichen WLAN-Netzen nutzen.

API
Über die API können Angreifer mit Nutzername und Passwort Nachrichten im Namen des jeweiligen Nutzers versenden. Die Lücken wurde auch von
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
überprüft und bestätigt. WhatsApp hat derzeit noch keine Stellungnahme zu den Vorwürfen abgegeben.
Wie die Sicherheitssituation in den WhatsApp-Versionen für BlackBerry, Symbian und WindowsPhone aussieht, beziehungsweise wie dort das benötigte Passwort generiert wird, ist derzeit noch nicht bekannt.

Es ist nicht das erste Mal, dass WhatsApp in den Fokus von Kritik kommt. So wurde in der Vergangenheit immer wieder Kritik an den Sicherheitsvorkehrungen geübt. Zeitweise wurde die App aufgrund der Gefahren auch aus dem iOS-AppStore und dem Windows-Phone-Marketplace genommen, jeweils kurz danach aber wieder online gestellt.

Quelle: futurezone
 

Ähnliche Themen

josef.13
  • Artikel
Handy - Navigation Nach Handy-Wechsel muss WhatsApp in Zukunft extra entsperrt werden
Antworten
8
Aufrufe
2K
NAVJunk
NAVJunk
u040201
  • Artikel
Handy - Navigation WhatsApp-Alternativen: Signal, Telegram und Co. im Messenger-Vergleich
Antworten
0
Aufrufe
1K
u040201
u040201
u040201
  • Artikel
Handy - Navigation Kinderschutz unter Android mit Google Family Link einrichten
Antworten
0
Aufrufe
1K
u040201
u040201
u040201
  • Artikel
Hardware & Software Anleitung: Remote-Desktop: Fernwartung mit Teamviewer, Anydesk, Windows und Chrome erklärt
Antworten
0
Aufrufe
2K
u040201
u040201
josef.13
  • Artikel
PC & Internet Missing Link: Wie sicher ist der Anonymisierungsdienst Tor?
Antworten
0
Aufrufe
4K
josef.13
josef.13
Zurück
Oben