iphone-ticker.de — Alles zum iPhone. Seit 2007. 27 228 Artikel
   

Lächerlich: „WhatsApp“ unsicher wie ein offenes Scheunentor – Nutzung nicht zu empfehlen
Artikel auf Mastodon teilen.
298 Kommentare 298

Am besten leiten wir direkt mit dem Fazit ein: „WhatsApps“ (AppStore-Link) Sicherheitsinfrastruktur ist ein Desaster. Ihr solltet die App nicht nutzen.

WhatsApp, eine der populärsten Anwendungen zum Kurznachrichtenaustausch auf der iOS-Plattform, disqualifiziert sich gerade komplett. Der Messenger, der seinen unglaublich großen Nutzer-Kreis vor allem durch die einfache Einrichtung und Installation der Applikation aufbauen konnte und inzwischen über eine Milliarde Nachrichten pro Tag von A nach B transportiert, verspielt sich zur Stunde jedes Restvertrauen, dass nach den Negativ-Schlagzeilen der vergangenen Monate noch vorhanden sein dürfte.

Die 79 Cent-Applikation (unter Android ist der Dienst sogar komplett kostenlos), funkte noch bis August 2012 komplett unverschlüsselt in den W-Lan und UMTS-Netzen seiner Nutzer, führte am 24.08 jedoch immerhin eine Verschlüsselung des Nachrichtentextes ein – die Telefonnummer fliegt immer noch im Klartext durch die Luft – die das Mitlesen der Botschaften in offenen W-Lan Netzen nicht mehr ganz so problemlos machen sollte.

Die Verschlüsselung ist inzwischen gebrochen – der eigentliche Aufreger jedoch liegt ganz woanders: In der Authentifizierung der Anwendung beim „WhatsApp“-Server.

Spielen wir kurz die Installation durch:

Nutzer Bob lädt sich „WhatsApp“ auf sein iPhone. Die Anwendung sendet nun das komplette Adressbuch an den Server, um die Freunde ausfindig zu machen, die auch auf „WhatsApp“ setzen. Soweit so gut. Wer dem Dienst vertraut, gleicht seine Daten ab und hat danach eine einfache Option zum Kurznachrichtenaustausch. „WhatsApp“ erstellt bei dieser Gelegenheit jedoch auch ein Benutzer-Konto für Bob. Hier wird es kritisch.

Server-Intern setzt „WhatsApp“ Bobs Telefonnummer als Nutzer-Namen ein und die MAC-Adresse des iPhones als Passwort. Um das Passwort auf den ersten Blick jedoch sicherer erscheinen zu lassen, setzen den WhatsApp-Macher auf den MD5-Hash der doppelten MAC-Adresse. Ein Kinder-Algorithmus der in etwa so implementiert ist:

$wlanMAC = "AA:BB:CC:DD:EE:FF"; // Die MAC-Adresse des iPhones
$iphoneWhatsAppPassword = md5($wlanMAC.$wlanMAC); // Die Passwort-Funktion.

Und MAC-Adressen sind nicht etwa sonderlich versteckt, sondern lassen sich sowohl in den Info-Einstellungen des iPhones als auch in jedem W-Lan Netz mit minimalem Aufwand auslesen.

Ist die Mac-Adresse und die Telefonnummer eines „WhatsApp“-Nutzers bekannt, kann sein Account „lebenslang“ übernommen werden. Nachrichten lassen sich unter seinem Namen verschicken, andere Nutzer im „WhatsApp“-Netz ausfindig machen und mehr. Web-Entwickler können etwa diese PHP-Klasse nutzen um sich einen eigenen „WhatsApp“-Client im Web-Browser zusammen zu bauen und Nachrichten anschließend unter fremden Namen zu versenden.

Unser Fazit steht im ersten Abschnitt dieses Artikels.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
15. Sep 2012 um 11:36 Uhr von Nicolas Fehler gefunden?


    Borlabs Cookie - Testumgebung aktiviert!
    298 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    298 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 27228 Artikel in den vergangenen 6554 Tagen veröffentlicht. Und es werden täglich mehr.     ifun.de — Love it or leave it   ·   Copyright © 2025 aketo GmbH   ·   Impressum   ·   Cookie EinstellungenBorlabs Cookie - Testumgebung aktiviert!   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven