Die beliebte SMS-Alternative WhatsApp kommt aus den Schlagzeilen nicht heraus. Im Sommer gab es zum Beispiel ein Spionageprogramm namens “Whats App Sniffer“im Google App Store Play, mit denen die Kommunikation belauscht werden konnte. In der letzten Woche gab es Gerüchte, dass die Telekom WhatsApp.Anwender sperrt.
Die neueste Nachricht zu WhatsApp: Der Dienst hat vor kurzer Zeit seine Anmeldung auf eine verschlüsselte Anmeldung umgestellt. Sam Granger veröffentlicht jetzt in seinem Blog, dass dieso simpel gestrickt ist, dass Android-Benutzer sehr leicht in fremde Konten eindringen und im Namen dieser Benutzer WhatsApp-Nachrichten versenden können.
Denn WhatsApp verwendet einfach die umgedrehte IMEI des Android-Smartphones und erzeugt daraus einen nicht “gesalzenen” MD5-Hash.
Der Benutzername ist dabei die Telefonnummer, wodurch mögliche Angreifer diese Daten recht einfach unter Android auslesen können.
Auf Github kann man eine Software herunterladen, die Zugang zum WhatsApp-Dienst verschafft, und schon kann man eine WhatsApp-Nachricht im Namen eines Anderen verschicken.
Unter iOS ist das nicht so einfach, denn da gibt es keine offizielle Schnittstelle gibt, über die man die IMEI eines Gerätes auslesen kann.
Die Telefonnummer, die ja den Benutzernamen darstellt, bietet keine zusätzliche Sicherheit, denn sie wird trotz der eingeführten Verschlüsselung im Klartext übermittelt.
Pingback: WhatsApp hat auch unter iOS keine echte Sicherheit | Klaus Ahrens: News, Tipps, Tricks und Fotos