News 11.05.2012, 11:53 Uhr

App liest WhatsApp-Nachrichten aus

Eine Schnüffel-App für Android ermöglicht es, über WLAN verschickte WhatsApp-Nachrichten von anderen mitzulesen.
Diese Android-App muss ein Traum sein für Schnüffler: Laut Sicherheitsanbieter G Data ermöglicht sie es, über WhatsApp verschickte Nachrichten abzufangen und anzuzeigen. Die Voraussetzung: Der Schnüffler muss sich im selben WLAN-Netz befinden wie seine Opfer. Die Schnüffel-App macht sich dabei ein altbekanntes Problem zunutze: Es ist ein Leichtes, den Datenverkehr innerhalb eines WLAN-Netzes abzufangen. Und weil WhatsApp die Nachrichten unverschlüsselt übermittelt, kann die Schnüffler-App diese in aller Ruhe abfangen und im Klartext anzeigen.
Problematisch ist dies vor allem in öffentlichen WLAN-Netzen, beispielsweise in einem Café. Aufgrund der enormen Verbreitung von WhatsApp ist dieses Problem durchaus als kritisch zu bezeichnen. Und laut G Data gibt es keine Möglichkeit, sich solchen Schnüffelattacken zu entziehen – die einzige wirksame Massnahme wäre, sich nicht via WLAN, sondern ausschliesslich via Mobilfunknetz mit dem Internet zu verbinden.
Keine Reaktion von WhatsApp
Mittlerweile hat Google die Schnüffler-App zwar aus dem Play Store entfernt. Zuvor wurde sie allerdings bereits einige Tausend Mal heruntergeladen. Und wie G Data weiter schreibt, hat WhatsApp zwar mittlerweile ein Update für die Android-App veröffentlicht, das auch einige «Sicherheits-Verbesserungen» beinhaltet – das Problem mit der unverschlüsselten Datenübertragung wurde aber scheinbar nicht gelöst, womit der Schnüffelei weiterhin nichts im Wege steht.
WhatsApp ist laut G Data übrigens bereits im vergangenen Jahr auf diese Schwachstelle aufmerksam gemacht worden.



Kommentare
Avatar
Preggy
11.05.2012
Zum Glück hat G Data noch nie was von Faceniff gehört sonst würden sich wohl deren Zehennägel freiwillig aufrollen und erhängen :)

Avatar
Tuxone
11.05.2012
Ich weiss nicht was Gdata getestet hat. Aber mit der neusten WhatsApp Version wird zumindest auf meinen Android Devices die Übertragung SSL verschlüsselt.

Avatar
hanswurst1
11.05.2012
Was interessieren die Schnüffler schon diese Texte, wer Passwörter ernsthaft verschickt und dann auch noch über ein ungesichertes WLAN ist selbst schuld. Ziemlich elitäre Ansicht - das man nicht auf http seiten passwoerter oder via email in einem unverschluesselten WLAN verschicken sollte, hat sich in IT Kreisen herumgesprochen - normale User verstehen schon davon nichts, und *gerade* bei einer App wie WhatsApp kann der User nichtmal nachvollziehen wie die Nachricht verschickt wird, ob via WLAN oder via GSM, geschweige denn mit was fuer einem Protokoll. Merke, nicht jeder kann einen Wireshark bedienen oder interpretieren. Pruegeln sollte man aber den Programmierer von Whatsapp, der ein Protkoll wie XMPP ohne verschluesselung benutzt (mutmasslich um keine resourcen fuer SSL zu brauchen auf den Servern).