Ist Whatsapp sicher? Fakten, Gedanken, ein Überblick…

Es gab vor wenigen Tagen ein sehr wichtiges Whatsapp Update. Eine seit 2 Monaten bekannte, schwerwiegende Sicherheitslücke wurde jetzt vermutlich geschlossen.
Ich nehme das als Anlass mich mal ein wenig mit dem Thema zu beschäftigen.

Ist Whatsapp sicher??

Der folgende Beitrag ist eine persönliche Recherche, eine grobe Übersicht, kein wissenschaftlicher Vortrag. Ich bin kein Experte in dem Gebiet und habe nicht jedes Detail bis ins Tausendste recherchiert und selber getestet. Also, dementsprechend lesen 😉

Wie der Zufall es will habe ich mich vor 1-2 Monaten kurz mit der Sicherheit von Whatsapp beschäftigt.
Dabei habe ich einige Sicherheitsartikel gelesen, in denen 2 große Sicherheitslücken besonders im Vordergrund standen: das Mitlesen von fremden Whatsapp Nachrichten und das Übernehmen eines fremden Accounts.


Mitlesen fremder Nachrichten:
Ich hatte es mir selbst einfach mal zum Ziel gesetzt Whatsapp Chats anderer Handys abzufangen und mitzulesen, self-hacking contest 😉
Es heißt, unter bestimmten Voraussetzungen (ein nicht verschlüsseltes oder schlecht verschlüsseltes (WEP) WLAN, Angreifer und Opfer im WLAN, Angreifer mit entsprechenden Tools) sei es möglich jegliche Whatsapp Nachricht aus dem WLAN zu filtern und zu lesen, egal ob von anderen Telefonen gesendet oder empfangen.
Es gibt praktisch keine WLAN Netze mehr, die mit dem alten Sicherheitsstandard WEP verschlüsselt sind, 99% aller WLAN Netze sind, wenn sie verschlüsselt sind, mit WPA oder WPA2 verschlüsselt. Hier ist im normalen Rahmen genug Sicherheit gegeben.
Nach einigen Stunden des Testens (ich habe mir zu Hause Test-WLANs erstellt und mit dem im Netz verbreiteten Sniffer-Tools versucht meine eigenen Nachrichten abzufangen) habe ich es aufgegeben, ohne Erfolg.
Und auch beim WEP WLAN und sogar komplett unverschlüsseltem WLAN habe ich es nicht geschafft.
Denn: Whatsapp verschlüsselt seit geraumer Zeit seine Nachrichten selbst, sogar in unverschlüsselten WLANs werden also nur noch verschlüsselte Daten (Nachrichten) verschickt, die nicht gelesen werden können. Aber auch hier gibt es schon wieder erste Zweifel an dieser Verschlüsselung.


Übernehmen fremder Accounts: Diese Sicherheitslücke existiert seit dem Update von Whatsapp, welches für die Verschlüsselung von Nachrichten sorgte. Schade eigentlich.
Ich habe mich mit diesem Problem noch nicht ausführlich beschäftigt und fasse mal (mehr oder weniger) kurz zusammen, was ich jetzt bei den ersten Recherchen herausbekommen habe.
Das Problem ist: Whatsapp meldet einen Client am Server mit Hilfe eines einzigartigen Passworts an; das soll die Sicherheit gewährleisten. Dieses Passwort wird also pro Gerät generiert. Wie dieses Passwort generiert wird ist aber bekannt! Das Server-Client-Passwort wird mit einer speziellen Geräte ID (IMEI bei Android, WLAN MAC bei iOS) und einem Algorithmus (der ja bekannt ist) generiert. Wer nun also diese ID eines Geräts herausfindet kann sich am Server als ein anderes Gerät dauerhaft identifizieren und hat dieses damit „übernommen“.
Ich bin kein Experte (das heißt die folgenden Punkte sind eher Vermutungen), aber an diese ID zu kommen bedarf meines Erachtens immer noch dem physischen Zugriff auf das Gerät:
– Bei Android steht die IMEI („eindeutige“ Kennung eines Android Gerätes) oftmals auf der Handyrückseite (unter dem Akku) steht, sich per Tastenkombi und per App auslesen lässt. Für alle 3 Varianten benötigt man das Handy des Opfers in der Hand.
– Beim iPhone stellt die WLAN MAC die ID des Geräts dar; auch diese lässt sich natürlich anzeigen, wenn man das Gerät in der Hand hat (wie beim Android unter der Voraussetzung, man hat das Entsperrmuster/PIN um aus dem Sperrbildschirm rauszukommen). ABER: diese WLAN MAC lässt sich glaube ich mit dem nötigen Wissen auch ohne physischen Zugriff beschaffen. Aber dafür müsste man auch online Kontakt zu dem Gerät aufnehmen, um sie dann aus der Ferne auslesen zu können. Details lasse ich aus.
Es ist also in freier Wildbahn ohne Zugriff auf das Handy des Opfers vermutlich nur schwer möglich, diesen Prozess heimlich und schnell durchzuführen. Die Tester und Schreiber der Sicherheitsartikel haben diese Sicherheitslücke bestimmt auch nur im Labor mit 2 Handys vor sich nachvollziehen können; das reicht ja auch um zu warnen, Sicherheitslücke ist Sicherheitslücke. Aber wie viele tatsächliche Opfer gab/gibt, wie oft dieser Prozess tatsächlich schon „geglückt“ ist, darüber habe ich noch nichts gelesen.
Und nun das große AAABER: auch diese Sicherheitslücke ist wohl seit Kurzem behoben! Es ist noch nicht so verbreitet, ob das Stopfen der Sicherheitslücke wirklich erfolgreich war oder wieder neue Lücken schuf; aber Whatsapp hat wohl ein Update verteilt, bei dem eben dieser Account-Klau gesichert wurde. Es ist wie gesagt abzuwarten ob das stimmt.

Fazit:
Whatsapp scheint sicher genug, um nicht von normalen Nutzern oder Hobby-ITlern missbraucht werden zu können. Wenn es Sicherheitslücken gibt (und die gibt es in jedem Programm), dann erfordern diese in freier Wildbahn bestens informierte, vorbereitete und nerdige Angreifer. Zusätzlich scheint es notwendig zu sein, dass der Angreifer in irgendeiner Art und Weise Zugriff auf das Gerät des Opfers bekommt, physisch oder via online Kontaktaufnahme.
Ich nutze Whatsapp und werde es auch weiter nutzen. Sich der Sicherheitsrisiken bewusst zu sein und dementsprechend vorsichtig zu handeln ((sowieso) keine unverschlüsselten WLANs nutzen, private oder wichtige Daten (Kontodaten, Passwörter usw) nicht über Whatsapp schicken) ist meine Devise.
Aber natürlich muss das jeder für sich entscheiden.

Whatsapp ist (noch) kostenlos. Dadurch entsteht für die Entwickler keine Verpflichtung gegenüber den Nutzern, eine gewisse Sicherheit zu gewährleisten. Man erwartet es aufgrund der Popularität (~10.000.000.000 ein-/ausgehende Nachrichten pro Tag!) zwar schon, sie bieten aber immer noch eine kostenlose Dienstleistung; der Nutzer hat keinen Anspruch auf irgendetwas (außer gesetzlichen Bestimmungen, z.B. bezüglich Datenschutz usw.).

In den letzten Tagen häufen sich die Gerüchte im Internet, dass Whatsapp kostenpflichtig wird; vorerst für Android-, BlackBerry-, Windows-Phone- und Nokia/Symbian Nutzer. Wenn diese Gerüchte stimmen wird Whatsapp sicher bald für alle Systeme kostenpflichtig. Wenn das so ist bieten die Entwickler eine kostenpflichtige Dienstleistung an und diese muss meines Erachtens dann auch einen gewissen Qualitätsstandard, auch bzgl. der Sicherheit, haben. Die Forderungen von den Nutzern und Wirtschaft/Politik sind dann auch dringlicher und werden sicher auch energischer.

9 Kommentare

  1. Hallo Hannes,

    danke für die Zusammenfassung. An die IMEI kommt man am einfachsten indem man physischen Zugang zum Gerät, daran besteht kein Zweifel. Es ist m.E. aber auch ohne möglich. Die IMEI kann (1) per Interseite aufgerufen und wenn ich mich nicht irre auch (2) ausgelesen und übertragen werden. (1) ist noch sehr einfach. Ich hatte vor einigen Wochen – zu Zeiten des „Wipegates“ – mal eine Bastelseite erstellt. Dort kann man per Internetseite sowohl seinen PIN ändern (sollte für Android, iPhone, Blackberry und Co funktionieren) als auch die IMEI (Android) anzeigen lassen. Kannst du hier ausprobieren (passiert nicht automatisch, keine Angst):

    http://www.apearmy.net/Android/USSD-GSM-Phones-Codes-Test-20121016/

    (2) Ist schon etwas schwieriger. Soll aber möglich sein. Dafür habe ich nicht ausreichend recherchiert gehabt.

    Viele Grüße,

    Fränk

  2. Hi Fränk,

    das Anzeigen der IMEI mit Android Steuercodes sollte hoffentlich bei meinen Lesern dank Aufklärungsbeitrag zu dieser Gefahrenquelle nicht mehr funktionieren 😉
    Außerdem befehlen die Steuercodes doch auch nur die Anzeige auf dem Smartphone selbst oder kann man die IMEI auf der Webseite dann auch entgegennehmen?
    Denn wenn sie nur auf dem Smartphone angezeigt werden hilft das dem Angreifer gar nicht; er brauch wieder physischen Zugriff auf das Gerät UND ggf. existierende Bildschirmentsperrcodes (Muster oder PIN).

    Also Punkt (2), „auslesen und übertragen“ würde mich interessieren 😉

  3. Hallo Hannes,

    ja, die Verschlüsselung der WhatsApp-Nachrichten ist nicht sooo sicher, denn es werden nur die Textinhalte verschlüsselt – mit einem unbekannten Algorithmus. Es besteht also die Möglichkeit, dass dort etwas selbstgefrickeltes eingesetzt wird, das sich mit etwas Aufwand brechen lässt.

    Beim Herausfinden der Informationen, um einen Account zu übernehmen, sind die Hürden unterschiedlich hoch. An eine fremde IMEI zu kommen, ist schon nicht so einfach – es sei denn, man hat physikalischen Zugriff auf das Gerät. Solch eine Person hat auch meist direkten Zugriff auf die Telefonnummer, die mit dem Telefon verknüpft ist.

    Besonders einfach ist das Übernehmen leider bei iOS-Geräten. Sobald man sich im gleichen WLAN befindet, wie das Opfer, kann man die MAC-Adresse herausfinden. Wenn du einen bösen Netzwerk-Admin hast, kann der auch noch den Traffic mitsniffen und so aus der Ferne deine Handynummer aus den (nur teilweise verschlüsselten) Paketen auslesen.

  4. Hallo Hannes, hallo Kenny,

    Sorry für meine späte Antwort. Bin leider nicht eher dazu gekommen.

    Ich kann leider die Quelle nicht mehr finden wie man an via Skript und Webseite daran kommt. Dass es per selbstgebastelter App funzt wird denke ich niemand bestreiten. Schliesslich nutzen viele Apps die IMEI zur Identifikation.

    Die App jemand unterzujubelt halte ich für sehr einfach. Da kann man per Webseite die App laden lassen, nennt sie kritisches Blabla (Google?) Update und schon werden ne Menge Leute nicht lange nachdenken.

    Oder man versendet per PHP fake mailer 😉 nen Link zu einer wirklich wichtigen App. Ein bisschen Kreativität und social engineering hilft immer.

    Falls alles nicht hilft, einfach den Google Account hacken und darüber die App auf das Smartphone laden.

    Klar die IMEI zu bekommen ist der schwierigere Part aber definitiv möglich. Und der physische Zugang muss nicht zwingend bestehen.

    Was sagt ihr? Schönen ersten Advent!

  5. Hi Fränk,

    also ich kenne auch nur das Anzeigen von IMEI auf dem Telefon selbst, initiiert von einer Webseite mittels eines simplen tel: Links. Das Auslesen, wenn möglich, findet man sicher nur in den dunkelsten Ecken des Internets 😉

    Ein App zum Auslesen der IMEI via Phishing/Fake Mail zu verteilen mag in seltenen Fällen funktionieren aber beim Thema Whatsapp Sicherheit ist das ja nicht relevant; das ist ja dann keine Lücke bei Whatsapp sondern im Hirn des Smartphone Benutzers.

    Und zu „einfach den Google Account hacken“ sage ich mal lieber nichts ^^

    Also ich bleibe dabei: wenn der Besitzer nicht zu doof ist, dazu gehört es auf Phishing/Fake nicht reinzufallen und das Smartphone physisch nicht irgendwelchen zwielichtigen Menschen zu überlassen, dann ist das Hacken seines Whatsapp Accounts mit Hilfe der IMEI weiterhin schwierig. Zumal das neue Update ja jetzt diesen Bug gefixed haben soll.

  6. Ich denke dass es wirklich sehr gute Angriffe via SE gibt und ich denke auch dass die Erfolgsquote gar nicht so schlecht ist.

    Weiterhin gehe ich in der Diskussion schon davon aus, dass du dein Opfer kennst. Ich vermute einfach mal dass dich die Nachrichten eines x-beliebigen unbekannten Nutzers nicht interessieren. Insofern sehe ich auch bei der kurzzeitig Nutzung seines Google-Accounts (auch ohne physischen Zugang zum Gerät!) zur Installation der App keine Hürden.

    Schönen Feierabend

  7. Naja bei sowas wie Whatsapp Hacking denke ich eigentlich tatsächlich weniger daran Freunde/Bekannte zu hacken, allein den Gedanken finde ich verwerflich und einfach nur arschig. Warum sollte man Leute, mit denen man zu tun hat, ausspionieren wollen?
    Ich dachte eigentlich tatsächlich an große öffentlich zugängliche Netzwerke: Flughäfen, Bahnhöfe, Hotels, sowas. Gegenden wo viele Leute, wenn möglich Geschäftsleute o.Ä., das WLAN nutzen und vielleicht wichtige Informationen (jeglicher Art) kommunizieren.
    Also ich dachte da eher an Spionage im größeren Stil als die Freundin heimlich auszuhören…
    Somit die Ansicht, dass ein Hacking via SE oder physischen Zugriff unwahrscheinlich ist.

    In deinem Szenaria (man kennt die Person (vielleicht sogar sehr gut), hat vlt hin und wieder physischen Zugriff) kann es natürlich klappen, wenn das Opfer zu unversiert oder unvorsichtig ist.

Schreibe einen Kommentar