Unter Android: Dritt-Apps können WhatsApp-Datenbank auslesen
Die Kurznachrichten-Applikation WhatsApp, seit dem 20. Februar eine offizielle Facebook-Tochter, erweitert den Katalog ihrer schon jetzt rekordverdächtigen Sicherheits-Patzer um eine gravierende Security-Lücke auf dem Android-Betriebssystem.
So können Dritt-Anwendungen, die in der Lage sind auf die Speicherkarte eines Android-Smartphones zuzugreifen, nicht nur die komplette WhatsApp-Datenbank auslesen, sondern sogar die derzeit nur halbherzige Verschlüsselung des WhatsApp-Nachrichtenspeichers knacken.
Der Entwickler Bas Bosschert erklärt den Zugriff auf die WhatsApp-Datenbank in seinem Blog und illustriert die kinderleichte Datenmitnahme anhand mehrerer Code-Beispiele. Laut Bosschert könnten Drittanwendungen die Übertragung der persönlichen WhatsApp-Daten auf eigene Server heimlich im Systemhintergrund abwickeln und die Nachrichten anschließend im Klartext auslesen.
With this question my brother and I started an interesting conversation which ended in underneath proof of concept. The tldr answer is: “Yes, that is possible”. The WhatsApp database is saved on the SD card which can be read by any Android application if the user allows it to access the SD card. And since majority of the people allows everything on their Android device, this is not much of a problem. So what do we need to steal someones Whatsapp database?
Entwarnung für iPhone-Nutzer: Da Apple den Applikationen, die auf eurem iPhone installiert sind, keinen gemeinsamen Speicherplatz zur Verfügung stellt, sondern jeder App ein eigenes Silo baut (Stichwort: Sandboxing), in der die eigenen Daten vor dem Zugriff von Dritt-Anwendungen geschützt sind, betrifft die Sicherheitslücke derzeit nur Android-Geräte.
Sollten eure Freunde jedoch auf das Google-Betriebssystem setzen, sind auch eure Chat-Verläufe in Gefahr.
Wieder ein Grund mehr für Threema
RICHTIGE Wahl. Daumen hoch ;-)
Threema hab ich mal zur Probe auf mein iPhone installiert (das war mir die 1,79€ Wert) und hab mal verglichen. Optisch gefällt es mir nicht, weniger Möglichkeiten UND von meinen ca. 80 Adressbucheinträgen erreiche ich 65 Leute mit WhatsApp! Die restlichen 15 sund keine Privatpersonen. In Threema fanden sich davon gerade mal 5 Leute – also noch nicht mal 10% meiner Kontakte erreiche ich mit dem ach so tollem Threema! Der Test war am 09.03.14
Hab Threema wieder gelöscht, hab keinen Bock auf 5 verschiedene Messenger und Geheimnisse oder sensible Daten schreib ich nicht mit WhatsApp!
Typischer Kommentar von jemandem, der die Welt sicherlich nicht weiter bringt.
Komisch, dass von meinen 121 Kontakten schon 84 Threema nutzen. Ich freu mich darüber und veemisse nichts. Wahrscheinlich hast du auch Freunde denen es egal ist, was so in der Welt passiert.
Ich sehe es wie mit einem in der Fussgängerzone am Boden liegenden und um hilfe bittenden Menschen… andere gehen vorbei ( man hat ja Termine ) und andere helfen und machen sich Gedanken.
Du Clinnt, gehörst für mich im übertragenen Sinne zu der Gruppe die weitergeht. Und, auch wenn du gerne helfen würdest, würdest du es nicht schaffen, weil deine Freunde dich mitziehen nicht zu helfen.
Ist schon nicht nicht einfach.
Aber ich würde mir nie wieder WhatsApp installieren. Das steht fest ;)
Bei mir sind es 130 zu 25… Mit gefällt Threema überhaupt nicht. Und solang ich über whatsapp keine sensiblen Daten schicke, ist mir das Geheule um Whatsapp auch egal. Achja, ich treffe mich heute Nachmittag um 15 in der Frankfurter Innenstadt mit einer Freundin zum Kaffee, nur falls das hier jemanden interessieren sollte…
Schon mal drüber nachgedacht, dass wesentlich mehr Leute als Dir angezeigt werden trotzdem Threema nutzen könnten?
Also meine Freunde und Bekannten werden mich auch nicht auf ihrer Threema Liste finden, was von mir auch absolut so gewollt ist und zwar zum Schutz meiner, vor allem aber IHRER Daten. Und das Schlimme ist eigentlich dass niemand darüber nachzudenken scheint. Frei nach dem Motto „klar erlaube ich allen Apps alles“ „Shut up and take my data“ …
Vielleicht sollte man einfach mal das machen, wofür diese Apps eigentlich gedacht sind: Mit den „Freunden“ kommunizieren und nachhaken, ob sie nicht vielleicht doch Threema nutzen.
Aber was rede ich da … 99,9% denken doch sowieso nur von 12 bis. Mittag!
Wo genau triffst du dich? Wann hast du vor, wieder zu gehen? Und wie kann man deine Beziehung mit dieser Freundin beschreiben?
Das müsstest du hier schon auch angeben, wenn du so viel preisgeben willst, wie whatsapp von dir weiß.
Ach ja genau und wie heißt du mit vollem Namen? Wie ist deine Nummer? Wie heißt deine Freundin und wie ist ihre Nummer?
Also ob das jemand wahrheitsgemäß hier hier posten würde… Sobald es aber passiert, ohne das man es mitbekommt, ist es wieder ok… Kranke Welt
Ich habe leider die gleiche Erfahrung wie Clinnt machen dürfen: Nur etwa 10% meiner Kontakte wechselten zu Threema.
Datenschutz ist den meisten einfach vollkommen egal. Hat nichts mit dem Betriebssystem zu tun.
Übrigen gibts die Sandbox bei Android seit 4.irgendwas auch.
@Sw33ty
Der Vergleich der Hilfeleistung ist vielleicht nicht ganz fair, aber irgendwie stimmt es schon…die Einen, die nichts tun, weil halt alles immer so ist, wie es ist, und die Anderen, die immerhin bei sich was verändern wollen. Das darf man getrost der jeweiligen Person überlassen, was allerdings sehr entlarvend ist, ist die Anzahl der Leute, die man bei Threema wiederfindet.
Die representiert den Freundeskreis und sagt etwas über die Gruppe derer, die die sich für das Thema Datensicherheit interessieren. Und ebenso der Gruppe, der das Thema am gedanklichen Gesäß vorbeigeht.
Ich habe mitgeteilt, dass ich mich von Whatsapp innerhalb von 2 Wochen verabschiede, das steht auch in meinem Profil, und ich blocke alle bei Whatsapp, die mir bereits über Threema geschrieben haben. So kommt man nicht durcheinander, und am Ende bekommen alle, die mich noch nicht auf Threema angeschrieben haben und in meinem Chatverlauf stehen, , eine Umzugsnachricht. Und dann wird gelöscht und das wars.
Was schade ist, ist, dass Facebook mit dem Zeitpunkt der Übernahme sicher Vollzugriff auf alle Daten hatte…und sie wären unfähig, wenn sie diese nicht schon längst kopiert und nach Vernetzung ausgewertet hätten.
Die Welt ohne Whatsapp wird gewiss, wie auch ohne Facebook, nicht ärmer sein.
Selbst wenn ich meinen Namen und den meiner Freundin hier posten würde – es interessiert einfach keeeeeeeeeeine Sau. Und hätte jemand meinen Namen, hätte meine Adresse, hätte meine Nummer, hätte hätte hätte Fahrradkette…
Ich habe das gleiche Problem. Habe WhatsApp gelöscht und bin zu Threema gewechselt. Familie und Freunde konnte ich bislang nicht überzeugen zu wechseln. Also schreibe ich nicht mehr. Solange WhatsApp so schlampig mit Nutzerdaten umgeht, kommt es nicht mehr aufs Smartphone.
Wieder ein Grund mehr fürs iPhone ;)
Ihr wisst schon, dass Whatsapp nicht nur die Photod kennt, die ihr mit dem Messenger verschickt habt…
Whatsapp kann auf alle Bilder zugreifen und diese nach Lust und Laune vom Telefon herunterladen, ohne dass Ihr es merkt.
Zudem können whatsapp ungefragt das Mikrofon einschalten und Telefonate mitschneiden.
Glaubt Ihr nicht?
Lest nach: http://www.derwesten.de/staedt.....73421.html
Nach der WA übernahme von FB, wo ich ohnehin kein Account habe, habe ich WA bei mir auch gelöscht und bin zu Threema. Ich habe leider nur 3 Wechsler, welche aus der eigenen Familie sind, schade. Aber wirklich stören tut mich das auch nicht. Als ich mit WA angefangen habe, hatte ich auch nicht viel mehr Kontakte…
Ich bekomme fast immer die gleichen Worte zu hören, warum? …was soll das bringen? …schreibe ja eh keine Betriebsgeheimnisse! …mir doch egal was die mit den Daten machen.
Warum diese Gleichkültigkeit eurer ganz persönlichen Daten??? Ist euch das wirklich egal, oder ist es euch egal, weil ihr nur nicht wisst, wer, wann, wo auf eure Daten zugreift?
Gäbe es Little Snitch fürs Handy und alle paar Minuten würde es aufpoppen, weil gerade Kontakte, Bilder, Notizen oder Chatverläufe euer Handy verlassen, würde sicher kein Nutzer auf „Erlauben“ klicken!
X-beliebige Situation… Kino, U-Bahn, Fitnesscenter, Uni, Schule, Arzt, Supermarkt… Eine unbekannte Person nimmt euer Handy und schaut sich eure Kontakte an, was ihr schreibt, mit wem ihr schreibt, schaut sich eure Bilder an und am Ende denkt er sich, eigentlich kann man sich davon ja mal ne Kopie ziehen und tut es…
Würde wirklich einer von euch sagen, tstss was willste denn damit? Klotz doch, hab eh keine Betriebsgeheimnisse! Mir doch egal, was er mit den Daten will!
Keiner von euch würde sich das gefallen lassen, warum auch?
Millardenschwere Unternehmen tuen das aber und ihr lasst es zu, warum? Weil es bequem ist? Weil es billig ist? Letztlich bezahlt ihr/wir den „kostenlosen“ Dienst mit unseren Daten! Wir geben unsere Kontakte preis, erlauben die Einsicht in unsere Bilder usw. und sagen… na und!?
Wenn unsere Daten sooo unwichtig sind, warum zahlen Firmen oder in diesen Fall FB 19 Millarden??? Man kann sich darüber streiten, ob der Preis zu hoch war oder nicht, aber die Bereitschaft 19 Millarden für Daten zu zahlen, sollte einen normal denkenden Menschen doch stuzig machen!
Letztlich sind wir noooch ganz am Anfang der Datensammelsucht. Es werde soviele Daten gesammelt, bis alles miteinander verknüpft und nachverfolgbar ist. Bis aus vielen Millarden Puzzleteilchen am Ende ein ganzes Bild entsteht, von jeder Person und das gesamte Leben. Vielleicht braucht man sich irgendwann gar nicht mal mehr bewerben, dann sucht der Personalchef in der EDV nach euren Namen und er weiss, was du dein bisheriges Leben getrieben hast und vielleicht auch mit wem. ;)
Zukunftsmusik… es geht eigentlich nur darum, mal darüber nachzudenken, ob jeder Fortschritt der letztlich mit unseren persönlichen Daten bezahlt wird, unbedingt sein muss bzw. man sich antun sollte oder man nicht vielleicht ein wenig sensibler damit umgeht. Lasst ihr euren Kontoauszug irgendwo liegen, ist doch egal, was will einer denn damit?
Im realen Leben geben wir acht, freuen uns über eine Codesperre und den ID Button, aber sobald es digital wird, wir die Person nicht mehr sehen, nicht wissen, macht jetzt einer was dran, wird es uns egal – zumindest den meisten.
Man weiss ja überhaupt nichts! Was anderes wäre es, wenn das Wissen sichtbar wird und eure Freundin/Frau plötzlich eine sms von WA bekommt, in der steht, dass ihr euch gerade mit einer anderen verabredet habt oder ihr den gestrigen Sex mit der Kollegin ganz wunderbar gefunden habt…
Ich bin der Meinung, dass man wieder viel sensibler mit seinen Daten (WA) und seinem Leben (FB) umgehen sollte-nicht jeder muss alles über einen wissen! Und schon gar nicht die, die damit am Ende die Millarden verdienen. Prost!
Nee, ein Grund für ein iPhone!
Pro iOS Kontra Android!
Stimmt laut dem mobiflip Beitrag nicht (mehr). Der scheint mir besser recherchiert zu sein.
besser recherchiert oder hier nur Leute die kein Android Gerät haben … ;)
Whats was??? Der Käse kam mir noch nie aufs iPhone!
Naja mal abwarten was Threema noch für Sicherheitslücken bringt das wird auch nicht ohne Schwachstellen sein!
funktioniert aber nur so, wenn man WA das speichern des Chat-Verlaufs auf der SD-Karte erlaubt! Ansonsten liegt der Verlauf im Geräte-Speicher wo das Auslesen nicht geht. Ausser bei einem gerooteten System.
Es liegt also auch ein wenig am User was er da so einstellt!
Steht ja auch im Text: „And since majority of the people allows everything on their Android device, this is not much of a problem.“
Natürlich, aber de Großteil der Leute hier denkt spontan, dass die Androidversion per se unsicherer ist.
Ist sie ja auch-ebenso wie die iOS-Version…
Das über Android Apps / Windows Progr. der Inhalt von Whatsapp (Androud) ausgelesen werden kann ist zumindest nicht neu.
bzw geht das auf dem iPhone genauso. auch hier wird alles in einer SQLite-DB gespiechert.
holt euch mal iFunBox, iPhone anschliessen, schaut unter Benutzer Programme, Whats App/Docuements. Da liegt die DB im Klartext.
Ok geht wohl nicht per App. Aber sicher ist das auch nicht sonderlich
Und da kommen andere Apps wie drauf?
Jailbreak und schon ist auch das möglich oder nicht ?
Und Auslesen kann man es zumindest am Recher mit iFunBox. Die DB ist nichtmal verschlüsselt!
… und wie soll das gehen?
Erklär doch mal.
Schwätzer!
Das Problem dürfte mit Android 4.4 eh Geschichte sein. Dort wurden die Rechte für das Auslagern auf die SD-Karte neu geregelt, sodass es nicht mehr so einfach ist alle Ordner und Dateien zu lesen. Öffentliche Ordner können weiterhin gelesen werden, aber private Ordner von Apps nicht mehr.
Whats was ? Selber Schuld wer das noch nutzt…..kein Mitleid.
Es wäre wirklich klasse wenn man nicht einfach Artikel kopiert, sondern auch recherchiert…
Die Lücke ist seit dem Update nicht mehr und mit 4.4 gibt es unter Android ebenso ein Sandboxing…
In diesem Fall nichts weiter als ein billiger Versuch des Bashings
armes whatsapp! jetzt tut mir der herr zuckerhut aber leid.
Und das überrascht dich? Wenn es hier um Android geht, dann nur um zu bashen. Da ist Recherche fehl am Platz.
Ja, leider…
Haben ja auch alle 4.4 seit dem Release von Google. Auch uralte Geräte – alles ist gut…
Wahnsinn – es gibt echt Leute die nicht ein wenig weiter denken. 4.4 ist kaum verbreitet!
Aber zum Glück ist auch das Update von WhatsApp schon länger verfügbar…
BTW mit einem Jailbreak kann man es ebenso auf einem iOS Gerät auslesen…
Ja, seit Montag ist das Update verfügbar und es schließt nicht die Lücke, sondern man hat lediglich das Dateiformat geändert. (Applaus an die Entwickler.)
Allerdings sehe ich das Problem hier erstmal nicht direkt bei Android, das System ist nunmal weitgehend offen, wodurch man als Nutzer halt bei jedem Programm explizit selber evaluieren muss, ob es keine potentielle Malware ist. Das Problem liegt viel mehr darin, dass die Entwickler von WhatsApp keinen feuchten Kehricht darauf geben, ob ihr verkorkster Messenger sicher ist oder nicht.
—
PS: Mit Root-Zugriff lässt sich grundsätzlich erstmal immer alles machen. Das liegt nunmal in der Natur der Dinge.
Der Anteil von Android 4.4 (KitKat) liegt nach bereinigter* Statistik bei knapp 2%.
—
*Androidgeräte, die zwar noch benutzt werden, aber aufgrund ihrer zu alten Software den Google Play Store nicht mehr nutzen können, werden nicht mehr aufgeführt – was als netten Nebeneffekt den prozentualen Anteil aktuellerer Androidversionen künstlich ein klein wenig höher aussehen lässt.
—
Bei der aktuellen Version von WhatsApp (release 10. März 2014) ist die Lücke übrigens immer noch vorhanden, auch wenn der Dechiffrieraufwand ein wenig höher geworden ist. (Lediglich das Format in dem die Daten hinterlegt werden wurde geändert, auslesen und kopieren lassen sich die Datensätze aber nach wie vor über den exakt gleichen Weg.)
Android?
Was ist das?
iPhone Nutzer sind nicht betroffen? Ist ein Witz oder? Klar sind sie das!
Das Backup wird unverschlüsselt in der icloud abgelegt und kann kostenlos über den Developer Zugang mit den iCloud Zugangsdaten runtergelauden werden!
Psssst… – Das will hier niemand wissen… ;-)))
wenn unter OSX die Icloud aktiviert ist, liegen die auch auf den Platte, da brauch ich ein Developer Zugang ….
-Library-Mobile Dcouments
Stimmt, Skandal. Wenn jemand meine Zugangsdaten kennt, kommt er an meine Daten .. Oh man Apple is so dumm …
Was hat das denn mit Apple zu tun? Es gibt Millionen Gründe warum ich Zugangsdaten von anderen haben kann (Freundin, Ex-Freundin, Familienmitglieder etc.)! Andere Messenger die iCloud nutzen verschlüsseln die Daten! Dumm ist nicht Apple sondern der Kommentar!
Wenn man sich genau mit dem Artikel beschäftigt sieht man, dass das, was hier beschrieben ist, reines Horrorszenario und Propaganda gegen Android ist. Ich will nicht alles ausführen, nur soviel, mit der aktuellen Whatsapp Version ist diese angebliche Lücke bereits geschlossen!
Mehr dazu in Abhandlungen anderer Seiten, die seriöser sind!
Tja, Frank, die aktuelle WhatsApp Version ist vom 10. März 2014. Bosschert hat seinen Artikel am 11. März 2014 veröffentlich und explizit erwähnt, dass er die Lücke auch mit der aktuellen Version getestet hat und sie anwenden konnte. Und nun?
Ich fahr momentan zweigleisig. Aber würde mir wünschen das mehr zu Threema wechseln.
Ihr werdet noch heulen wenn erstmal die Verbrecher den Wert dieser Infos erkannt haben.
„Hey Klaus, fahren wir noch ins Einkaufszentrum? „“Ja klar sei um 3 bei mir.“ Wenn euch ne leere Wohnung nicht stört.
Es ist blauäugig zu denken man würde nichts wichtiges Posten.
Dann überfliegt mal euren Verlauf noch mal und schaut wie viele bewegungsinformationen, Gewohnheiten ( „so wie immer?“, „gleich treffen zum Training?“) und was weiß ich alles in den Verläufen steckt!!
Wartet nur ab bis das Verbrecher Pakt sich dafür rüstet, skimming per handy, Handy ans Auto kleben zum orten, gibt’s es ja schon.
So ne Software ist schnell geschrieben, potentielle Opfer gibt’s in jeder Einkaufsstraße.
Viel Spaß. Mit Fantasie geht alles aber dazu war der deutsche Michel noch nie fähig;).
Ich habe auch zu Threema gewechselt.
Im Moment sind noch nicht alle Kontakte bei Threema, für mich aber KEIN Grund WhatsApp wieder zu installieren – das bleibt runter!
Die Daten liegen auf russischen Servern, da sind solche Diskussionen über lokalen Zugriff durch Apps eher nebensächlich. Nach 10.000 abgefangenen Nachrichten mit Inhalten, wie z.B. LOL, ;), ^^, Ey fett Digger, würde ich ganz schnell das Interesse verlieren, sollte ich Nachrichten abgreifen. Aber das ist nur meine persönliche Meinung.