WhatsApp: Sicherheitslücke erlaubt Status-Änderungen fremder Nummern – Entwickler ignorieren Hinweise

WhatsApp (AppStore-Link), eine der wohl populärsten Kurznachrichten-Apps auf dem iPhone, steht aktuell unter Beschuss. Fehler in der Sicherheits-Infrastruktur der Applikation ermöglichen es Dritten, die WhatsApp-Statusmeldungen einer beliebigen Telefonnummer zu editieren.

Die speziell für diesen Zweck aufgesetzte Demo-Seite whatsappstatus.net demonstriert die Schwachstelle. Problematisch ist jedoch weniger die Sicherheitslücke (über ulkige Status-Meldungen lässt sich zur Not noch Schmunzeln), als die Reaktion der WhatsApp-Entwickler. So wurden die Macher der SMS-Alternative bereits Mitte September über den Autorisierungsfehler unterrichtet, reagierten auf den Fehler jedoch nicht.

Neben den editierbaren Statusmeldungen prangern die für den Fund verantwortlichen Security-Experten der „SEC Consult Vulnerability Labs“ zwei weitere WhatsApp-Schwachstellen an. So ist zum einen die Neuregistrierung beliebiger Telefonnummern möglich, zum anderen nutzt WhatsApp zum Nachrichtenaustausch unter seinen Kunden unverschlüsselten Klartext:

[…] So if an attacker is able to perform a Man-in-the-middle attack it would be possible to read for example received or sent messages and even modify them. The response from the vendor did not indicate that there is a concrete plan to resolve this issue in the future.