Unter Android: Dritt-Apps können WhatsApp-Datenbank auslesen

Die Kurznachrichten-Applikation WhatsApp, seit dem 20. Februar eine offizielle Facebook-Tochter, erweitert den Katalog ihrer schon jetzt rekordverdächtigen Sicherheits-Patzer um eine gravierende Security-Lücke auf dem Android-Betriebssystem.

So können Dritt-Anwendungen, die in der Lage sind auf die Speicherkarte eines Android-Smartphones zuzugreifen, nicht nur die komplette WhatsApp-Datenbank auslesen, sondern sogar die derzeit nur halbherzige Verschlüsselung des WhatsApp-Nachrichtenspeichers knacken.

Der Entwickler Bas Bosschert erklärt den Zugriff auf die WhatsApp-Datenbank in seinem Blog und illustriert die kinderleichte Datenmitnahme anhand mehrerer Code-Beispiele. Laut Bosschert könnten Drittanwendungen die Übertragung der persönlichen WhatsApp-Daten auf eigene Server heimlich im Systemhintergrund abwickeln und die Nachrichten anschließend im Klartext auslesen.

With this question my brother and I started an interesting conversation which ended in underneath proof of concept. The tldr answer is: “Yes, that is possible”. The WhatsApp database is saved on the SD card which can be read by any Android application if the user allows it to access the SD card. And since majority of the people allows everything on their Android device, this is not much of a problem. So what do we need to steal someones Whatsapp database?

Entwarnung für iPhone-Nutzer: Da Apple den Applikationen, die auf eurem iPhone installiert sind, keinen gemeinsamen Speicherplatz zur Verfügung stellt, sondern jeder App ein eigenes Silo baut (Stichwort: Sandboxing), in der die eigenen Daten vor dem Zugriff von Dritt-Anwendungen geschützt sind, betrifft die Sicherheitslücke derzeit nur Android-Geräte.

Sollten eure Freunde jedoch auf das Google-Betriebssystem setzen, sind auch eure Chat-Verläufe in Gefahr.