WhatsApp: Auch nach letztem Update alles andere als sicher

Mit der Ausgabe des letzten WhatsApp-Updates hatten wir auf eine solide Überarbeitung der Sicherheits-Infrastruktur des populären Instant-Messanger gehofft. Ronald Eikenberg macht diesen Wunsch heute auf Heise Security zunichte. Nach eigenen Analysen lassen sich auch in der aktuellen Version des Kurznachrichten-Dienstes wieder eklatante Sicherheitslücken ausmachen, die einmal mehr die eine Account-Übernahme fremder Nutzer-Konten ermöglichen.

Heise Security am 29. November:

Bei einem Test von heise Security stellte sich heraus, dass man WhatsApp-Accounts erneut mit geringem Aufwand kapern kann. Wir konnten unbemerkt Nachrichten im Namen anderer WhatsApp-Nutzer senden und empfangen. […] Für die Account-Übernahme benötigten wir lediglich die Handynummer des Nutzers und die Seriennummer (IMEI) seines Smartphones – das sind beides Informationen, an die man leicht herankommt. Das eingesetzte Skript hat uns ein Leser zur Verfügung gestellt. Es generiert aus der IMEI das zur Anmeldung am WhatsApp-Server nötige Passwort.

Ist schon mal vorgekommen, kann natürlich noch mal passieren. Aber: Nicht tolerabel ist die ausgebliebene Reaktion der WhatsApp-Macher auf das Angebot der Heise- Forensiker:

Um das Abdichten der Lücke zu beschleunigen, haben wir dem WhatsApp-Chef angeboten, ihm sämtliche uns vorliegenden Details über die Schwachstelle und das zum Account-Klau genutzte Skript zur Verfügung zu stellen. Seitdem sind mehrere Tage vergangen – zu unserer Verwunderung hat WhatsApp bislang nicht um die Zusendung der Informationen gebeten.

Ketten-Mail
Die derzeit kursierende Ketten Mail-zum WhatsApp-Aus am 28 Januar darf getrost ignoriert werden.