10.09.2012, 13:07

Benjamin Schischka

Sicherheit

In der Kritik: WhatsApp macht es Hackern zu leicht

Lassen Sie Ihr Smartphone nicht unbeaufsichtigt liegen! ©istockphoto.com/krystiannawrocki

Die beliebte Chat-App WhatsApp zieht nicht nur harmlose User an. Auch Hacker wollen die App für ihre Zwecke nutzen. Eine zu einfache Authentifizierung soll es ihnen leicht machen.
WhatsApp-Angreifern war es schon im Mai per Spyware-App gelungen, WhatsApp-Chats auszuspionieren. Leichtsinnig: Damals verschlüsselte WhatsApp die Unterhaltungen noch nicht. Nun steht die Android-App wieder in den Schlagzeilen: Der Entwickler Sam Granger kritisiert die leicht zu knackende Authentifizierung von WhatsApp.
 
Das Passwort, das WhatsApp verwende, sei einfach nur ein MD5-Hash der umgekehrten IMEI-Nummer. Die IMEI ist eine eindeutige Nummer Ihres Smartphones. Ein Hashwert ist eine Prüfsumme und die 1991 entwickelte Hash-Funktion MD5 (Message-Digest Algorithm 5) gilt als nicht mehr sicher. Angeblich verzichtet WhatsApp außerdem auf einen „Salt“. Dieser zufällige Zusatz würde die Berechenbarkeit des Hashes deutlich erschweren und ist bei vielen Anwendungen Standard. Damit nicht genug, soll WhatsApp als Nutzernamen Ihre  Telefonnummer verwenden. Klinkt sich ein Hacker mit ergaunerten Nutzerdaten ein, kann er Nachrichten in Ihrem Namen verschicken.
 
Sam Granger verrät vier Möglichkeiten, wie Hacker die Authentifizierung von WhatsApp ausnutzen können.
  1. Hat ein Angreifer direkten Zugang zu Ihrem Smartphone – etwa weil Sie es auf dem Bürotisch liegen gelassen haben, bevor Sie zur Toilette gegangen sind – kann der Angreifer einfach *#06# eingeben und erhält damit die IMEI. Die Telefonnummer finden die Hacker im Telefonbuch des Smartphones oder indem sie ihr eigenes Handy anrufen.
    Richten Sie darum unbedingt einen Anmeldebildschirm mit Zugangscode ein!

  2. Eine eigens programmierte App verrät dem Hacker Ihre IMEI-Nummer und die Telefonnummer, um sie heimlich im Hintergrund an den Hacker zu schicken. Die App könnte der Hacker als Gratis-Spiel oder Wallpaper tarnen.
    Laden Sie deshalb keine unseriösen Apps aus inoffiziellen Appstores herunter!

  3. Die Hacker knacken die Datenbank eines Drittanbieters, in dem Ihre Daten bereits stehen.
    In diesem Fall sind Sie leider machtlos. Am besten streuen Sie IMEI und Telefonnummer so wenig wie möglich, um in möglichst wenigen Datenbanken zu stehen.

  4. Ein Angreifer könnte die Daten von einem App-Entwickler kaufen.
    Hier gilt: Meiden Sie Apps, die unnötig viele Informationen sammeln, oder Apps, die unseriös wirken.
Granger weist darauf hin, dass auch iPhone, Blackberry und Windows Phone betroffen sein könnten. Allerdings müssten die Hacker dort teils anders vorgehen.
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
1574422
Content Management by InterRed