{"id":38350,"date":"2012-09-15T11:36:13","date_gmt":"2012-09-15T09:36:13","guid":{"rendered":"http:\/\/www.iphone-ticker.de\/?p=38350"},"modified":"2013-10-08T09:17:12","modified_gmt":"2013-10-08T07:17:12","slug":"whatsapp-unsicher-sicherheit-passwort","status":"publish","type":"post","link":"https:\/\/www.iphone-ticker.de\/whatsapp-unsicher-sicherheit-passwort-38350\/","title":{"rendered":"L\u00e4cherlich: „WhatsApp“ unsicher wie ein offenes Scheunentor – Nutzung nicht zu empfehlen"},"content":{"rendered":"

Am besten leiten wir direkt mit dem Fazit ein: „WhatsApps<\/strong>“ (AppStore-Link<\/a>) Sicherheitsinfrastruktur ist ein Desaster. Ihr solltet die App nicht nutzen.<\/p>\n

\"\"WhatsApp, eine der popul\u00e4rsten Anwendungen zum Kurznachrichtenaustausch auf der iOS-Plattform, disqualifiziert sich gerade komplett<\/a>. Der Messenger, der seinen unglaublich gro\u00dfen Nutzer-Kreis vor allem durch die einfache Einrichtung und Installation der Applikation aufbauen konnte und inzwischen \u00fcber eine Milliarde Nachrichten<\/a> pro Tag von A nach B transportiert, verspielt sich zur Stunde jedes Restvertrauen, dass nach den Negativ-Schlagzeilen<\/a> der vergangenen Monate noch vorhanden sein d\u00fcrfte. <\/p>\n

Die 79 Cent-Applikation (unter Android ist der Dienst sogar komplett kostenlos), funkte noch bis August 2012 komplett unverschl\u00fcsselt in den W-Lan und UMTS-Netzen seiner Nutzer, f\u00fchrte am 24.08<\/a> jedoch immerhin eine Verschl\u00fcsselung des Nachrichtentextes ein – die Telefonnummer fliegt immer noch im Klartext durch die Luft – die das Mitlesen der Botschaften in offenen W-Lan Netzen nicht mehr ganz so problemlos machen sollte. <\/p>\n

Die Verschl\u00fcsselung ist inzwischen gebrochen<\/a> – der eigentliche Aufreger jedoch liegt ganz woanders: In der Authentifizierung der Anwendung beim „WhatsApp“-Server. <\/p>\n

<\/p>\n

Spielen wir kurz die Installation durch:<\/strong><\/p>\n

Nutzer Bob l\u00e4dt sich „WhatsApp“ auf sein iPhone. Die Anwendung sendet nun das komplette Adressbuch an den Server, um die Freunde ausfindig zu machen, die auch auf „WhatsApp“ setzen. Soweit so gut. Wer dem Dienst vertraut, gleicht seine Daten ab und hat danach eine einfache Option zum Kurznachrichtenaustausch. „WhatsApp“ erstellt bei dieser Gelegenheit jedoch auch ein Benutzer-Konto f\u00fcr Bob. Hier wird es kritisch. <\/p>\n

Server-Intern setzt „WhatsApp“ Bobs Telefonnummer als Nutzer-Namen ein und die MAC-Adresse<\/a> des iPhones als Passwort. Um das Passwort auf den ersten Blick jedoch sicherer erscheinen zu lassen, setzen den WhatsApp-Macher auf den MD5-Hash<\/a> der doppelten MAC-Adresse. Ein Kinder-Algorithmus der in etwa so implementiert ist<\/a>:<\/p>\n

$wlanMAC = \"AA:BB:CC:DD:EE:FF\"; \/\/ Die MAC-Adresse des iPhones<\/code>
\n$iphoneWhatsAppPassword = md5($wlanMAC.$wlanMAC); \/\/ Die Passwort-Funktion. <\/code>\n<\/p><\/blockquote>\n

Und MAC-Adressen sind nicht etwa sonderlich versteckt, sondern lassen sich sowohl in den Info-Einstellungen des iPhones als auch in jedem W-Lan Netz mit minimalem Aufwand auslesen. <\/p>\n

\"\"<\/a><\/p>\n

Ist die Mac-Adresse und die Telefonnummer eines „WhatsApp“-Nutzers bekannt, kann sein Account „lebenslang“ \u00fcbernommen werden. Nachrichten lassen sich unter seinem Namen verschicken, andere Nutzer im „WhatsApp“-Netz ausfindig machen und mehr. Web-Entwickler k\u00f6nnen etwa diese PHP-Klasse nutzen<\/a> um sich einen eigenen „WhatsApp“-Client im Web-Browser zusammen zu bauen und Nachrichten anschlie\u00dfend unter fremden Namen zu versenden. <\/p>\n

Unser Fazit steht im ersten Abschnitt dieses Artikels. <\/p>\n","protected":false},"excerpt":{"rendered":"\"\"<\/a>

Am besten leiten wir direkt mit dem Fazit ein: „WhatsApps“ (AppStore-Link) Sicherheitsinfrastruktur ist ein Desaster. Ihr solltet die App nicht nutzen. WhatsApp, eine der popul\u00e4rsten Anwendungen zum Kurznachrichtenaustausch auf der iOS-Plattform, disqualifiziert sich gerade komplett. Der Messenger, der seinen unglaublich gro\u00dfen Nutzer-Kreis vor allem durch die einfache Einrichtung und Installation der Applikation aufbauen konnte und […]<\/p>\n","protected":false},"author":1,"featured_media":38354,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[153],"tags":[509,238,90,1260],"class_list":["post-38350","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-jailbreak","tag-nachrichten","tag-security","tag-sicherheit","tag-whatsapp"],"aioseo_notices":[],"rest_api_enabler":[],"_links":{"self":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/38350","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/comments?post=38350"}],"version-history":[{"count":10,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/38350\/revisions"}],"predecessor-version":[{"id":55237,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/posts\/38350\/revisions\/55237"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media\/38354"}],"wp:attachment":[{"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/media?parent=38350"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/categories?post=38350"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.iphone-ticker.de\/apiv2\/wp\/v2\/tags?post=38350"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}