WhatsApp bleibt ein Sicherheitsrisiko

Der beliebte Kurznachrichtendienst WhatsApp ist ein SMS-Killer. Seit der neusten Version werden die Botschaften der Nutzer verschlüsselt übertragen. Damit hat die US-Firma nach Jahren der Warnrufe von Sicherheitsexperten endlich gehandelt. Bis dahin konnten die Konversationen im Internet mithilfe eines Schnüffelprogramms von Dritten «mitgelesen» werden, wie Sicherheitstester bemängelten (20 Minuten Online berichtete).

Wie sich nun zeigt, nimmt es WhatsApp bei der Verschlüsselung der übertragenen Daten aber alles andere als genau: Der Webentwickler Sam Granger hat das Kryptographie-Verfahren unter die Lupe genommen und entdeckt, dass die neuen Sicherheitsmassnahmen nur einen rudimentären Schutz bieten.

Die von WhatsApp verwendete Verschlüsselung entspricht zwar auf den ersten Blick den heutigen Standards, das Problem bestehe aber im Passwort, aus dem der Schlüssel erzeugt wird. Zumindest bei Android-Geräten greift WhatsApp zur Verschlüsselung auf die sogenannte IMEI-Nummer des jeweiligen Smartphones zurück, um daraus einen einfach wiederherstellbaren Schlüssel zu erzeugen.

Bei der IMEI handelt es sich um die individuelle Seriennummer des Geräts. Die Angreifer brauchen zusätzlich noch die Telefonnummer, die bei WhatsApp als Benutzername dient und weiterhin im Klartext übermittelt wird. Beide Nummern können durch Angreifer problemlos herausgefunden werden. Eine App zur Ermittlung von IMEI und Telefonnummer sei schnell geschrieben und unter falschem Vorwand im App-Store Google Play eingestellt.

Allerdings ist die IMEI nicht direkt das Passwort. Laut Granger verwende WhatsApp die umgedrehte Seriennummer und erzeuge daraus ohne weitere Schutzvorkehrungen eine Verschlüsselung. Anscheinend wurde so versucht zu verschleiern, dass persönliche Nachrichten von Angreifern weiterhin mitgelesen werden können. «Versteht mich nicht falsch. Ich liebe WhatsApp. Aber es ist weit davon entfernt, sicher zu ein», resümiert Granger seine Gedanken zur neusten Sicherheitslücke in seinem Blog.

Die Angreifer können nicht nur Botschaften abfangen, sondern den Account des WhatsApp-Nutzers kapern. Mit zusätzlicher Software, die im Internet zu finden ist, könnte es möglich sein, Nachrichten zu versenden, die scheinbar vom Nutzer des geknackten Kontos stammen. Von dieser Möglichkeit dürften vor allem Spammer Gebrauch machen, die über gestohlene Nutzerkonten ihre Werbebotschaften in die Welt herausschleudern.

Granger vermutet, dass beim iPhone oder Windows-Phones ähnlich rudimentäre Verschlüsselungstechniken von WhatsApp eingesetzt werden. Vertrauliche Informationen aus dem privaten oder beruflichen Bereich sollten daher weiterhin nicht mit dem Gratis-Messenger verschickt werden.

Die US-Firma hat inzwischen reagiert und die Lücke geschlossen: «Meine Methode funktoniert nicht mehr», schreibt Granger in einem Update in seinem Blog.