Sicherheitslücken bei WhatsApp: Löchrige Kommunikation
Beim Versuch besonders einfach zu bleiben, ist der SMS-Ersatz WhatsApp auch besonders unsicher geraten. Kaum ist eine Lücke geschlossen, tut sich die nächste auf.
KÖLN taz | Die Kommunikation mit der Außenwelt haben die Macher von WhatsApp weitgehend eingestellt. Die Firma, zu deren Leidenschaften laut Unternehmensdarstellung die Kommunikation gehört, hat auf ihrer Unternehmenswebseite kaum etwas Neues zu berichten. Die letzte Meldung im Unternehmensblog stammt vom Juni, auf Twitter werden nur ab und an Statusmeldungen veröffentlicht.
Dabei gäbe es viel zu bereden. Seit im September bekannt wurde, dass es sehr einfach war, fremde Accounts zu übernehmen, machen sich viele Nutzer Gedanken über die Sicherheit des Dienstes. Doch das Unternehmen, das täglich über 10 Milliarden Nachrichten für seine Kunden verschickt, hielt es nicht nötig, seine Nutzer zu informieren. Dabei war die Lücke enorm: Wer wollte, konnte einfach auf einer Webseite den Account eines anderen WhatsApp-Nutzers übernehmen, in dessen Namen Nachrichten verschicken.
Dem Dienst kam eine seiner größten Stärken in die Quere: WhatsApp ist auf Einfachheit fixiert. Nutzer müssen nicht mal ein Passwort eingeben oder ihre Kommunikationspartner hinzufügen – einmal installiert, lädt das Programm das Adressbuch des Smartphones auf die Server von Whatsapp hoch und identifiziert die Nutzer, die ebenfalls die Anwendung installiert haben. Folge: Sofort kann der Nutzer Kurznachrichten an seine Freunde und Bekannten senden.
Doch die Einfachheit hat eine Kehrseite. WhatsApp hat die Nachrichtenübermittlung nicht neu erfunden, sondern setzt auf die bewährte XMPP-Technik, die zum Beispiel auch Google für seine Messenger-Dienste einsetzt. Wer sich mit einem gewöhnlichen Chat-Programm bei den WhatsApp-Servern mit Handynummer und Passwort ausweist, kann einen Account übernehmen. Doch da der Nutzer gar kein Passwort gesetzt hat, berechnet das Programm kurzerhand einen Schlüssel aus der Handynummer und der IMEI-Nummer, die jedes Handy eindeutig ausweist.
Doch diese Nummer ist relativ einfach auszulesen: Bei vielen Handys reicht es, den Code *#06# in die Telefontastatur einzugeben und die IMEI wird angezeigt. Auch App-Entwickler können die IMEI eines Smartphones abrufen. Ist diese Nummer einmal bekannt, hat ein potenzieller Angreifer alle Möglichkeiten, den WhatsApp-Account des Besitzers zu übernehmen.
Daran wird sich wohl so schnell nichts ändern. Zwar hatte der Dienst in einem Update im Oktober heimlich die Einlog-Prozedur so verändert, dass frühere Übernahmemethoden nicht mehr klappten, aber wie Heise Security berichtet, wurde nun eine neue Methode bekannt, wie sich fremde Accounts übernehmen lassen.
Keine Antwort für Journalisten
Als die Journalisten WhatsApp von der Lücke informierten, ließ das Unternehmen die Redaktion mehrere Tage im Unklaren, ob die Botschaft überhaupt angekommen war. Wann das Problem gelöst werden soll, verrät WhatsApp nicht. „Wenn man Revue passieren lässt, wie WhatsApp bislang mit dem Thema Sicherheit umgegangen ist, kann man eigentlich nur noch von der Nutzung des Dienstes abraten“, schreibt Heise Security.
Für WhatsApp kommen die Berichte über Sicherheitslücken ungelegen. Bei vielen Nutzern erscheint mittlerweile die Nachricht, dass der kostenlose Nutzungszeitraum abgelaufen sei und nun eine Jahresgebühr von 99 US-Cent fällig sei. Da der Dienst werbefrei ist, ist dies die einzige Einnahmequelle. Wer WhatsApp jedoch kein Geld überweist, bekommt in der Regel kurz vor Ablauf der Frist eine kostenlose Verlängerung. WhatsApp lebt davon, dass möglichst viele Nutzer über den Dienst erreichbar sind – würden plötzlich Millionen Nicht-Zahlungswilliger verschwinden, würde der Dienst deutlich unattraktiver.
WhatsApp ist nicht der einzige Chat-Dienst mit Sicherheitsproblemen. So war auch bei Skype über Monate eine Accountübernahme relativ einfach möglich. Doch als die Lücke Mitte November bekannt wurde, hat das nun zu Microsoft gehörende Unternehmen die entsprechenden Einlog-Prozeduren geändert und zumindest die Presse informiert.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Stockender Absatz von E-Autos
Woran liegt es?
Erfolg gegen Eigenbedarfskündigungen
Gericht ebnet neue Wege für Mieter, sich zu wehren
Tod des Fahrradaktivisten Natenom
Öffentliche Verhandlung vor Gericht entfällt
Wahlprogramm der FDP
Alles lässt sich ändern – außer der Schuldenbremse
Energiewende in Deutschland
Erneuerbare erreichen Rekord-Anteil
Grüne über das Gezerre um Paragraf 218
„Absolut unüblich und respektlos“