So leicht lässt sich WhatsApp austricksen

Über die mannigfachen Sicherheitslücken in WhatsApp liessen sich Bücher schreiben. Dass die Kurznachrichten relativ einfach mitgelesen werden können, hat sich mittlerweile herumgesprochen. Nun demonstriert die Webseite whatsapp.filshmedia.net, wie einfach es ist, ein Konto eines anderen Nutzers zu übernehmen und in dessen Namen WhatsApp-Nachrichten zu senden und zu empfangen.

Auf der Webseite, die WhatsApps-Sicherheitsstandards regelrecht vorführt, muss man lediglich die Telefonnummer des Opfers sowie die Seriennummer seines Smartphones eingeben. Ohne nach einem weiteren Passwort gefragt zu werden, kann man sich so bei WhatsApp im Namen des Opfers anmelden und fortan im Webbrowser beliebige Nachrichten an alle möglichen Personen senden. Die Sicherheitslücke lässt sich für harmlose Spässe, aber auch für wüste Beschimpfungen oder gar Drohungen missbrauchen.

Von der Nutzung dieses webbasierten WhatsApp-Diensten raten wir ausdrücklich ab, da nicht ausgeschlossen werden kann, dass die Telefon- und Seriennummern in falsche Hände gelangen und Unbekannte so einen dauerhaften Zugriff auf den Account erhalten.

Um ein fremdes WhatsApp-Konto zu übernehmen, brauchte man bislang rudimentäre Programmierkenntnisse. Mit der von Sascha Gehlich entwickelten Webseite, ist das Senden gefälschter Nachrichten zum Kinderspiel geworden. 20 Minuten Online hat Gehlichs Dienst getestet und konnte problemlos Nachrichten im Namen anderer versenden. Die notwendige Mac-Adresse, beziehungsweise IMEI-Nummer, lässt sich mit drei Klicks in den Einstellungen des iPhones, Android- oder Windows-Smartphones finden. Wer keinen direkten Zugriff auf das Handy seines Opfers hat, kann die Identifikationsnummer mit völlig legalen Netzwerk-Programmen in wenigen Sekunden ermitteln (siehe Foto). Solche Apps, die üblicherweise Netzwerk-Administratoren nutzen, spucken unter anderem die Mac-Adressen aller Geräte aus, die sich im gleichen WLAN befinden. Dies gilt auch für passwortgeschützte WLANs in Firmen oder an Schulen.

Bei manchen Smartphones steht die Seriennummer (IMEI) gar auf der Rückseite aufgedruckt oder sie lässt sich mit einer einfachen Tastenkombination ermitteln. Dass WhatsApp diese Nummer zur Anmeldung nutzt, lässt Sicherheitsexperten die Haare zu Berge stehen: «Die Lücken sind erschreckend», sagte Webentwickler Gehlich im Gespräch mit dem deutschen Online-Portal gulli.com. Er habe die Seite, mit der sich gefälschte Nachrichten versenden lassen, nur erstellt, um zu zeigen, wie unsicher WhatsApp sei.

Natürlich könnten auch Zeitgenossen mit weniger hehren Absichten eine solche Seite erstellen. «Das ist relativ einfach, wenn man weiss, wie man mit den Servern von WhatsApp kommunizieren kann», sagt App-Experte Martin Schawalder von der Softwarefirma iAgentur. Klar sei, dass der Kurznachrichtendienst mit Hochdruck an weiteren Sicherheitsmassnahmen arbeite, damit es für Angreifer nicht genügt, die Telefon- und Seriennummer zu haben.

Auf die neuste Sicherheitslücke wird von Fachmedien schon seit mehreren Wochen hingewiesen. Statt den Dienst rasch abzusichern oder die Nutzer zumindest zu warnen, hüllt sich das US-Unternehmen in Schweigen. Anscheinend schickte WhatsApp gar seine Anwälte gegen den Entwickler los, der Funktionen zum Nutzen des Messengers via PC im Internet veröffentlichte. Der Autor hat den Quellcode, der das Senden von gefälschten Nachrichten über Webseiten ermöglicht, inzwischen aus dem Netz genommen, wie das deutsche Tech-Portal heise.de schreibt.

Nach wie vor lassen sich daher gefälschte Nachrichten über das Web an WhatsApp-Nutzer schicken. Die App vom Handy zu löschen, bringe keinen ausreichenden Schutz, schreibt das Tech-Portal. Wer an die Mac-Adresse/IMEI gelange, könne weiterhin Nachrichten mit dem Konto des Opfers senden. Sicherheit schaffen kann nur WhatsApp mit einem Update der App. Bis dahin haben Mobbing-Täter leichtes Spiel.