News
11.09.2012, 07:50 Uhr
Whatsapp-Verschlüsselung unter Beschuss
Nachdem im August diesen Jahres bekannt wurde, dass Whatsapp Nachrichten unverschlüsselt überträgt, wurde dieses Manko sofort überarbeitet. Nun gibt es erneut Anlass zu Kritik: die Authentifizierung sei zu einfach.
WhatsApp - theoretisch konnte jeder mitlesen
Das Passwort, das WhatsApp verwende, sei einfach nur ein MD5-Hash der umgekehrten IMEI-Nummer. Die IMEI ist eine eindeutige Nummer Ihres Smartphones. Ein Hashwert ist eine Prüfsumme und die 1991 entwickelte Hash-Funktion MD5 (Message-Digest Algorithm 5) gilt als nicht mehr sicher. Angeblich verzichtet WhatsApp ausserdem auf einen sogenannten Salt. Dieser zufällige Zusatz würde die Berechenbarkeit des Hashes deutlich erschweren und ist bei vielen Anwendungen Standard. Damit nicht genug, soll WhatsApp als Nutzernamen Ihre Telefonnummer verwenden. Klinkt sich ein Hacker mit ergaunerten Nutzerdaten ein, kann er Nachrichten in Ihrem Namen verschicken.
WhatsApp-Authentifizierung aushebeln
Sam Granger verrät vier Möglichkeiten, wie Hacker die Authentifizierung von WhatsApp ausnutzen können und wie Sie sich schützen.
Sam Granger verrät vier Möglichkeiten, wie Hacker die Authentifizierung von WhatsApp ausnutzen können und wie Sie sich schützen.
1. Hat ein Angreifer direkten Zugang zu Ihrem Smartphone – etwa weil Sie es auf dem Bürotisch liegen gelassen haben, bevor Sie zu einem Meeting gegangen sind – kann der Angreifer einfach *#06# eingeben und erhält damit die IMEI. Die Telefonnummer finden die Hacker im Telefonbuch des Smartphones oder indem sie ihr eigenes Handy anrufen.
Richten Sie darum unbedingt einen Anmeldebildschirm mit Zugangscode ein!
2. Eine eigens programmierte App verrät dem Hacker Ihre IMEI-Nummer und die Telefonnummer, um sie heimlich im Hintergrund an den Hacker zu schicken. Die App könnte der Hacker als Gratis-Spiel oder Wallpaper tarnen.
Laden Sie deshalb keine unseriösen Apps aus inoffiziellen Appstores herunter!
3. Die Hacker knacken die Datenbank eines Drittanbieters, in dem Ihre Daten bereits stehen.
In diesem Fall sind Sie leider machtlos. Am besten streuen Sie IMEI und Telefonnummer so wenig wie möglich, um in möglichst wenigen Datenbanken zu stehen.
4. Ein Angreifer könnte die Daten von einem App-Entwickler kaufen.
Hier gilt: Meiden Sie Apps, die unnötig viele Informationen sammeln, oder Apps, die unseriös wirken.
Richten Sie darum unbedingt einen Anmeldebildschirm mit Zugangscode ein!
2. Eine eigens programmierte App verrät dem Hacker Ihre IMEI-Nummer und die Telefonnummer, um sie heimlich im Hintergrund an den Hacker zu schicken. Die App könnte der Hacker als Gratis-Spiel oder Wallpaper tarnen.
Laden Sie deshalb keine unseriösen Apps aus inoffiziellen Appstores herunter!
3. Die Hacker knacken die Datenbank eines Drittanbieters, in dem Ihre Daten bereits stehen.
In diesem Fall sind Sie leider machtlos. Am besten streuen Sie IMEI und Telefonnummer so wenig wie möglich, um in möglichst wenigen Datenbanken zu stehen.
4. Ein Angreifer könnte die Daten von einem App-Entwickler kaufen.
Hier gilt: Meiden Sie Apps, die unnötig viele Informationen sammeln, oder Apps, die unseriös wirken.
Auch andere Smartphones betroffen
Granger weist darauf hin, dass auch iPhone, Blackberry und Windows Phone betroffen sein könnten. Allerdings müssten die Hacker dort teils anders vorgehen.
Kommentare
Es sind keine Kommentare vorhanden.
