Sicherheitslücken bei WhatsApp: Löchrige Kommunikation

KÖLN taz | Die Kommunikation mit der Außenwelt haben die Macher von WhatsApp weitgehend eingestellt. Die Firma, zu deren Leidenschaften laut Unternehmensdarstellung die Kommunikation gehört, hat auf ihrer Unternehmenswebseite kaum etwas Neues zu berichten. Die letzte Meldung im Unternehmensblog stammt vom Juni, auf Twitter werden nur ab und an Statusmeldungen veröffentlicht.

Dabei gäbe es viel zu bereden. Seit im September bekannt wurde, dass es sehr einfach war, fremde Accounts zu übernehmen, machen sich viele Nutzer Gedanken über die Sicherheit des Dienstes. Doch das Unternehmen, das täglich über 10 Milliarden Nachrichten für seine Kunden verschickt, hielt es nicht nötig, seine Nutzer zu informieren. Dabei war die Lücke enorm: Wer wollte, konnte einfach auf einer Webseite den Account eines anderen WhatsApp-Nutzers übernehmen, in dessen Namen Nachrichten verschicken.

Dem Dienst kam eine seiner größten Stärken in die Quere: WhatsApp ist auf Einfachheit fixiert. Nutzer müssen nicht mal ein Passwort eingeben oder ihre Kommunikationspartner hinzufügen – einmal installiert, lädt das Programm das Adressbuch des Smartphones auf die Server von Whatsapp hoch und identifiziert die Nutzer, die ebenfalls die Anwendung installiert haben. Folge: Sofort kann der Nutzer Kurznachrichten an seine Freunde und Bekannten senden.

Doch die Einfachheit hat eine Kehrseite. WhatsApp hat die Nachrichtenübermittlung nicht neu erfunden, sondern setzt auf die bewährte XMPP-Technik, die zum Beispiel auch Google für seine Messenger-Dienste einsetzt. Wer sich mit einem gewöhnlichen Chat-Programm bei den WhatsApp-Servern mit Handynummer und Passwort ausweist, kann einen Account übernehmen. Doch da der Nutzer gar kein Passwort gesetzt hat, berechnet das Programm kurzerhand einen Schlüssel aus der Handynummer und der IMEI-Nummer, die jedes Handy eindeutig ausweist.

Doch diese Nummer ist relativ einfach auszulesen: Bei vielen Handys reicht es, den Code *#06# in die Telefontastatur einzugeben und die IMEI wird angezeigt. Auch App-Entwickler können die IMEI eines Smartphones abrufen. Ist diese Nummer einmal bekannt, hat ein potenzieller Angreifer alle Möglichkeiten, den WhatsApp-Account des Besitzers zu übernehmen.

Daran wird sich wohl so schnell nichts ändern. Zwar hatte der Dienst in einem Update im Oktober heimlich die Einlog-Prozedur so verändert, dass frühere Übernahmemethoden nicht mehr klappten, aber wie Heise Security berichtet, wurde nun eine neue Methode bekannt, wie sich fremde Accounts übernehmen lassen.

Keine Antwort für Journalisten

Als die Journalisten WhatsApp von der Lücke informierten, ließ das Unternehmen die Redaktion mehrere Tage im Unklaren, ob die Botschaft überhaupt angekommen war. Wann das Problem gelöst werden soll, verrät WhatsApp nicht. „Wenn man Revue passieren lässt, wie WhatsApp bislang mit dem Thema Sicherheit umgegangen ist, kann man eigentlich nur noch von der Nutzung des Dienstes abraten“, schreibt Heise Security.

Für WhatsApp kommen die Berichte über Sicherheitslücken ungelegen. Bei vielen Nutzern erscheint mittlerweile die Nachricht, dass der kostenlose Nutzungszeitraum abgelaufen sei und nun eine Jahresgebühr von 99 US-Cent fällig sei. Da der Dienst werbefrei ist, ist dies die einzige Einnahmequelle. Wer WhatsApp jedoch kein Geld überweist, bekommt in der Regel kurz vor Ablauf der Frist eine kostenlose Verlängerung. WhatsApp lebt davon, dass möglichst viele Nutzer über den Dienst erreichbar sind – würden plötzlich Millionen Nicht-Zahlungswilliger verschwinden, würde der Dienst deutlich unattraktiver.

WhatsApp ist nicht der einzige Chat-Dienst mit Sicherheitsproblemen. So war auch bei Skype über Monate eine Accountübernahme relativ einfach möglich. Doch als die Lücke Mitte November bekannt wurde, hat das nun zu Microsoft gehörende Unternehmen die entsprechenden Einlog-Prozeduren geändert und zumindest die Presse informiert.