[h=1][/h] Die FILSH Media GmbH aus Essen demonstriert momentan auf einer Webseite, wie schwer die Sicherheitslücke von WhatsApp wiegt, die trotz Bekanntheit immer noch nicht von den Entwicklern geflickt wurde und damit beweisen dürfte, dass den Betreibern in Sachen Security nicht viel am Herzen liegt, oder dass man einfach unfähig ist. Das Problem hatte ich Anfang September schon einmal beschrieben, es betrifft den Login-Mechanismus von WhatsApp.
WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf eine nicht so gute Form der Authentifikation. WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters. Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren.
Der WhatsApp Web Client funktioniert auf eben jene Weise. IMEI oder WiFi-MAC nebst Telefonnummer eingeben und schon könnt ihr als völlig andere Person WhatsApp-Nachrichten verschicken. Es dürfte nicht allzu schwer sein, diese beide Daten bei Menschen herauszubekommen, ein paar unbeobachtete Momente reichen.
Ich habe den Spaß eben getestet und kann nur sagen: liebe WhatsApp-Entwickler, lasst euch was einfallen – allen anderen kann man eigentlich nur noch von der Benutzung abraten. Das Kuriosum: die Webseite bietet etwas an, was sich viele Nutzer von WhatsApp wünschen: die Nutzung im Browser.
Quelle: caschys blog