Gratis und gefährlich?«Die Probleme bei WhatsApp sind Tatsache»
Seit Monaten macht WhatsApp mit Sicherheitsproblemen Schlagzeilen. Sollte man die Finger vom Gratis-Messenger lassen? Im Interview erklärt Sicherheitsexperte Oliver Kunz die Risiken.
«SMS sind schwieriger mitzulesen als WhatsApp-Nachrichten oder unverschlüsselte E-Mails», sagt IT-Experte Oliver Kunz.
Die von zwei Computerfreaks erfundene Kurznachrichten-App WhatsApp sorgt weiter für Furore. Pro Tag werden zehn Milliarden Gratis-Nachrichten verbreitet: in Echtzeit und werbefrei. Allerdings hapert es bei der Sicherheit, wie Oliver Kunz von der Sicherheitsunterehmung Scip im Interview erklärt. Die Nachrichten können nicht nur von Dritten mitgelesen werden, Angreifer können gar das WhatsApp-Konto «entführen» und im Namen ihres Opfers Nachrichten versenden.
Herr Kunz, nutzen Sie WhatsApp?
Oliver Kunz: Ja, um mich mit meinen Kollegen auf ein Bier zu verabreden, ist WhatsApp eine tolle Gratis-Alternative zur SMS. Allerdings würde ich nie heikle Daten wie meine Kreditkartennummer darüber senden - die würde ich aber auch nicht im Zug über das Telefon mitteilen. Grundsätzlich gilt: Was man im ÖV nicht herausposaunt, sollte man auch über WhatsApp nicht tun – beide Unterhaltungen können mitgehört werden.
WhatsApp ist die Gratis-Alternative zur SMS: Heisst gratis auch unsicherer?
Auch die Kommunikation über SMS ist nicht für vertrauliche Informationen geeignet. SMS sind aber schwieriger mitzulesen als WhatsApp-Nachrichten oder unverschlüsselte E-Mails.
Das US-Startup gerät immer wieder wegen Mängeln bei der Sicherheit in die Schlagzeilen. Verbreiten die Medien Panik?
Die Sicherheitsprobleme sind Tatsache. Es war bislang für jedermann mit sehr wenig Wissen möglich, das WhatsApp-Konto eines anderen zu übernehmen und in seinem Namen Nachrichten zu versenden. Manche Medien haben aber gewiss übertrieben, wenn sie pauschal von der Nutzung abgeraten haben.
WhatsApp hat seinen Dienst vor einigen Wochen verschlüsselt. Warum gilt die App trotzdem noch als unsicher?
Die Nachrichten werden nicht durchgängig verschlüsselt, also von Endgerät zu Endgerät. Lediglich die Kommunikation zwischen Smartphone und Server wird verschlüsselt. Wer sich Zugriff auf die Server verschafft, kommt daher an alle Daten. Ich vermute, die junge Firma wurde von ihrem gewaltigen Erfolg überrascht und hat sich vor allem um die Weiterentwicklung der App gekümmert. Sicherheitsaspekte blieben dabei lange auf der Strecke.
Erst vor kurzem kam raus, dass sich ein fremdes WhatApp-Konto übernehmen lässt.
Das Problem ist, dass WhatsApp die Anmeldedaten anhand von bekannten Werten generiert. Die Benutzerkennung ist immer die Telefonnummer. Als Passwort wird beim iPhone die sogenannte MAC-Adresse verwendet. Diese Nummer lässt sich sehr einfach in den Einstellungen finden, wenn das Opfer sein Smartphone kurz unbeaufsichtigt lässt. Kennt der Angreifer Telefonnummer und MAC-Adresse, kann er das WhatsApp Konto übernehmen und im Namen seines Opfers gefälschte Nachrichten senden.
Gibt man das iPhone nicht aus der Hand, ist man auf der sicheren Seite?
Leider nein. Der Angreifer braucht keinen physischen Zugriff. Die MAC-Adresse, also das Passwort, kann mit einfachen Mitteln im WLAN mitgelesen werden.
In einem passwortgeschützten WLAN ist man aber sicher?
Nein. Der Aufwand für einen Angreifer erhöht sich zwar, aber mit speziellen Tools lässt sich auch die MAC-Adresse in einem verschlüsselten WLAN mitlesen. Es ist jedoch komplexer, als wenn sich der Angreifer bereits im gleichen WLAN befindet.
Sind Android-Nutzer genauso gefährdet?
WhatsApp nutzt bei Android die sogenannte IMEI, die 15-stellige Seriennummer des Handys, für das Passwort. Sie kann ebenfalls sehr einfach in den Einstellungen gefunden werden. Aus der Ferne ist es aber schwieriger ein WhatsApp-Konto für Android zu übernehmen, da die IMEI-Nummer im Gegensatz zur MAC-Adresse nicht über das WLAN übermittelt wird. Die Achillesferse bei Android ist der App-Store.
Warum?
Angreifer können IMEI-Nummern auch über Spionage-Apps in Erfahrung bringen, die sie in Googles App-Store platzieren. Eine solche bösartige App braucht lediglich die Berechtigung, den Telefonstatus zu lesen. Schon kann sie im Stil eines Trojaners die IMEI- und Telefonnummer, also das WhatsApp-Passwort, an den Angreifer senden. Apple verweigert den Zugriff auf die IMEI für App-Entwickler, was wohl zur Verwendung der MAC-Adresse führte.
Bei der Installation verlangen zahlreiche Apps umfassende Rechte. Warum vertrauen die Nutzer Apps aus völlig unbekannter Herkunft?
Die Berechtigungen klingen oft sehr harmlos, gewähren den Apps aber umfassenden Zugriff auf das Smartphone. Kommt hinzu: Die Apps lassen sich sehr einfach installieren und wieder löschen. Ich beobachte daher immer wieder, dass Anwendungen aus anonymer Quelle ohne viel zu überlegen installiert werden. Ich denke, wir müssen bei Smartphones zuerst noch lernen, kritisch zu werden. Am PC würden wir wohl kaum ein Programm von irgendeinem unbekannten Unternehmen installieren.
Was raten Sie konkret?
Die Nutzer sollten sich überlegen, ob sie eine App wirklich brauchen und misstrauisch sein, wenn die Applikation umfassende Zugriffsrechte verlangt. Damit das WhatsApp-Konto nicht in falsche Hände gerät, sollte das Smartphone mit einem PIN geschützt werden. Zudem sollten iPhone-Nutzer öffentliche und halböffentliche WLANs meiden, bis WhatsApp einen anderen Wert als Passwort verwendet.
Nichts verpassen
Das Ressort Digital ist auch auf Twitter vertreten. Folgen Sie uns und entdecken Sie neben unseren Tweets die interessantesten Tech-News anderer Websites.
