WhatsApp: noch immer unsicher + Spam

Die Entwickler von WhatsApp haben still und heimlich via Update ein Sicherheitsleck gestopft bzw. wollten es stopfen. Gemäss Heise ist ihnen das nämlich nicht gelungen.

Das Sicherheitsleck ist bereits seit zwei Monaten bekannt. Ein möglicher Angreifer konnte WhatsApp-Accounts anderer Nutzer dauerhaft kompromittieren, wenn er leicht zugängliche Informationen – die Seriennummer (IMEI) eines Android-Smartphones oder die MAC-Adresse eines iPhones – herausbekommen hat.

Wie Heise herausfand,kann man auch nach dem Sicherheits-Update noch fremde WhatsApp-Konten kapern. Auf den Android-Smartphones der Testopfer sei dabei die aktuellste Version 2.8.7326 von WhatsApp installiert gewesen. Alleine mit Handy- und Seriennummer des Smartphones (IMEI) des Opfers sei der Angriff möglich. Beides sind Informationen, an die man auch als Nicht-Hacker leicht kommen kann. Für die IMEI reicht etwa ein kurzer Moment, in dem der Kollege im Büro oder der Sitznachbar im Zug sein Smartphone unbeobachtet lässt. Geben Sie einfach *#06# in die Telefontastatur Ihres Androiden ein, dann erhalten Sie die IMEI. Alternativ fragen Hacker Ihre IMEI per eigens programmierter App ab, die sie als Köder in den Download-Portalen von Apps auslegen. Oder sie knacken eine Datenbank, in der Ihre IMEI bereits von anderen App-Entwicklern gesammelt wurde.

Sicherheitsbestreben mangelhaft

Ein Leser von Heise soll das Skript für den Test zur Verfügung gestellt haben, das aus der IMEI dann das Passwort von WhatsApp generiere. Zusammen mit der Telefonnummer hat der Angreifer nun die Anmeldedaten der App. Heise will den WhatsApp-Gründern alle Unterlagen zur Schwachstelle inklusive des verwendeten Skripts angeboten haben, damit man die Lücke schnell schliessen könne. Doch auch nach Tagen habe man noch keine Antwort bekommen. Was nicht für ein hohes Sicherheitsinteresse seitens der WhatsApp-Entwickler spricht.

Tipp: Richten Sie unbedingt eine Telefonsperre ein, um Angreifern den physischen Zugang zu Ihrem Smartphone zu erschweren. Schauen Sie sich ausserdem stets die Rechte an, die eine App vor der Installation fordert. Will die App Ihre IMEI wissen, seien Sie unbedingt kritisch!

WhatsApp ist nicht gratis

Jüngst machte der Kommunikationsdienst durch Zahlungsaufforderungen von sich reden. Die ersten Nutzer von Android-, Nokia-, BlackBerry und Windows-Phone-Geräten werden zur Kasse gebeten. Sie können den Dienst - gemäss Geschäftsbedingungen - ein Jahr lang kostenlos nutzen, müssen danach jedoch 99 Cent pro Nutzungsjahr bezahlen. iOS-Anwender bezahlen seit jeher 1 Franken, um die App überhaupt downloaden zu können. Sie müssen mit keinen Gebühren rechnen. Dennoch nutzen üble Scherzbolde die Verunsicherung und verbreiten eine Art virtueller Kettenbrief.

Der gute alte Kettenbrief in neuer Verpackung

Darin warnt das angebliche WhatsApp-Team, dass es zu viele User gäbe und der Dienst geschlossen werde. Man müsse die Nachricht an alle Kontakte schicken. Wer dies nicht tut, dessen Konto verschwinde bereits binnen 48 Stunden in der digitalen Versenkung.
Eine andere Meldung besagt, dass die Nutzung für alle User mit dem Status «Error: status unavailable» kostenpflichtig wird. Es sei denn, sie leiten die Nachricht an zehn Personen weiter.

Die Statusmeldung «Error: status unavailable» ist übrigens ein bereits bekanntes Problem von WhatsApp.