Es gab vor wenigen Tagen ein sehr wichtiges Whatsapp Update. Eine seit 2 Monaten bekannte, schwerwiegende Sicherheitslücke wurde jetzt vermutlich geschlossen.
Ich nehme das als Anlass mich mal ein wenig mit dem Thema zu beschäftigen.
Ist Whatsapp sicher??
Der folgende Beitrag ist eine persönliche Recherche, eine grobe Übersicht, kein wissenschaftlicher Vortrag. Ich bin kein Experte in dem Gebiet und habe nicht jedes Detail bis ins Tausendste recherchiert und selber getestet. Also, dementsprechend lesen 😉
Wie der Zufall es will habe ich mich vor 1-2 Monaten kurz mit der Sicherheit von Whatsapp beschäftigt.
Dabei habe ich einige Sicherheitsartikel gelesen, in denen 2 große Sicherheitslücken besonders im Vordergrund standen: das Mitlesen von fremden Whatsapp Nachrichten und das Übernehmen eines fremden Accounts.
Mitlesen fremder Nachrichten:
Ich hatte es mir selbst einfach mal zum Ziel gesetzt Whatsapp Chats anderer Handys abzufangen und mitzulesen, self-hacking contest 😉
Es heißt, unter bestimmten Voraussetzungen (ein nicht verschlüsseltes oder schlecht verschlüsseltes (WEP) WLAN, Angreifer und Opfer im WLAN, Angreifer mit entsprechenden Tools) sei es möglich jegliche Whatsapp Nachricht aus dem WLAN zu filtern und zu lesen, egal ob von anderen Telefonen gesendet oder empfangen.
Es gibt praktisch keine WLAN Netze mehr, die mit dem alten Sicherheitsstandard WEP verschlüsselt sind, 99% aller WLAN Netze sind, wenn sie verschlüsselt sind, mit WPA oder WPA2 verschlüsselt. Hier ist im normalen Rahmen genug Sicherheit gegeben.
Nach einigen Stunden des Testens (ich habe mir zu Hause Test-WLANs erstellt und mit dem im Netz verbreiteten Sniffer-Tools versucht meine eigenen Nachrichten abzufangen) habe ich es aufgegeben, ohne Erfolg.
Und auch beim WEP WLAN und sogar komplett unverschlüsseltem WLAN habe ich es nicht geschafft.
Denn: Whatsapp verschlüsselt seit geraumer Zeit seine Nachrichten selbst, sogar in unverschlüsselten WLANs werden also nur noch verschlüsselte Daten (Nachrichten) verschickt, die nicht gelesen werden können. Aber auch hier gibt es schon wieder erste Zweifel an dieser Verschlüsselung.
Übernehmen fremder Accounts: Diese Sicherheitslücke existiert seit dem Update von Whatsapp, welches für die Verschlüsselung von Nachrichten sorgte. Schade eigentlich.
Ich habe mich mit diesem Problem noch nicht ausführlich beschäftigt und fasse mal (mehr oder weniger) kurz zusammen, was ich jetzt bei den ersten Recherchen herausbekommen habe.
Das Problem ist: Whatsapp meldet einen Client am Server mit Hilfe eines einzigartigen Passworts an; das soll die Sicherheit gewährleisten. Dieses Passwort wird also pro Gerät generiert. Wie dieses Passwort generiert wird ist aber bekannt! Das Server-Client-Passwort wird mit einer speziellen Geräte ID (IMEI bei Android, WLAN MAC bei iOS) und einem Algorithmus (der ja bekannt ist) generiert. Wer nun also diese ID eines Geräts herausfindet kann sich am Server als ein anderes Gerät dauerhaft identifizieren und hat dieses damit „übernommen“.
Ich bin kein Experte (das heißt die folgenden Punkte sind eher Vermutungen), aber an diese ID zu kommen bedarf meines Erachtens immer noch dem physischen Zugriff auf das Gerät:
– Bei Android steht die IMEI („eindeutige“ Kennung eines Android Gerätes) oftmals auf der Handyrückseite (unter dem Akku) steht, sich per Tastenkombi und per App auslesen lässt. Für alle 3 Varianten benötigt man das Handy des Opfers in der Hand.
– Beim iPhone stellt die WLAN MAC die ID des Geräts dar; auch diese lässt sich natürlich anzeigen, wenn man das Gerät in der Hand hat (wie beim Android unter der Voraussetzung, man hat das Entsperrmuster/PIN um aus dem Sperrbildschirm rauszukommen). ABER: diese WLAN MAC lässt sich glaube ich mit dem nötigen Wissen auch ohne physischen Zugriff beschaffen. Aber dafür müsste man auch online Kontakt zu dem Gerät aufnehmen, um sie dann aus der Ferne auslesen zu können. Details lasse ich aus.
Es ist also in freier Wildbahn ohne Zugriff auf das Handy des Opfers vermutlich nur schwer möglich, diesen Prozess heimlich und schnell durchzuführen. Die Tester und Schreiber der Sicherheitsartikel haben diese Sicherheitslücke bestimmt auch nur im Labor mit 2 Handys vor sich nachvollziehen können; das reicht ja auch um zu warnen, Sicherheitslücke ist Sicherheitslücke. Aber wie viele tatsächliche Opfer gab/gibt, wie oft dieser Prozess tatsächlich schon „geglückt“ ist, darüber habe ich noch nichts gelesen.
Und nun das große AAABER: auch diese Sicherheitslücke ist wohl seit Kurzem behoben! Es ist noch nicht so verbreitet, ob das Stopfen der Sicherheitslücke wirklich erfolgreich war oder wieder neue Lücken schuf; aber Whatsapp hat wohl ein Update verteilt, bei dem eben dieser Account-Klau gesichert wurde. Es ist wie gesagt abzuwarten ob das stimmt.
Fazit:
Whatsapp scheint sicher genug, um nicht von normalen Nutzern oder Hobby-ITlern missbraucht werden zu können. Wenn es Sicherheitslücken gibt (und die gibt es in jedem Programm), dann erfordern diese in freier Wildbahn bestens informierte, vorbereitete und nerdige Angreifer. Zusätzlich scheint es notwendig zu sein, dass der Angreifer in irgendeiner Art und Weise Zugriff auf das Gerät des Opfers bekommt, physisch oder via online Kontaktaufnahme.
Ich nutze Whatsapp und werde es auch weiter nutzen. Sich der Sicherheitsrisiken bewusst zu sein und dementsprechend vorsichtig zu handeln ((sowieso) keine unverschlüsselten WLANs nutzen, private oder wichtige Daten (Kontodaten, Passwörter usw) nicht über Whatsapp schicken) ist meine Devise.
Aber natürlich muss das jeder für sich entscheiden.
Whatsapp ist (noch) kostenlos. Dadurch entsteht für die Entwickler keine Verpflichtung gegenüber den Nutzern, eine gewisse Sicherheit zu gewährleisten. Man erwartet es aufgrund der Popularität (~10.000.000.000 ein-/ausgehende Nachrichten pro Tag!) zwar schon, sie bieten aber immer noch eine kostenlose Dienstleistung; der Nutzer hat keinen Anspruch auf irgendetwas (außer gesetzlichen Bestimmungen, z.B. bezüglich Datenschutz usw.).
In den letzten Tagen häufen sich die Gerüchte im Internet, dass Whatsapp kostenpflichtig wird; vorerst für Android-, BlackBerry-, Windows-Phone- und Nokia/Symbian Nutzer. Wenn diese Gerüchte stimmen wird Whatsapp sicher bald für alle Systeme kostenpflichtig. Wenn das so ist bieten die Entwickler eine kostenpflichtige Dienstleistung an und diese muss meines Erachtens dann auch einen gewissen Qualitätsstandard, auch bzgl. der Sicherheit, haben. Die Forderungen von den Nutzern und Wirtschaft/Politik sind dann auch dringlicher und werden sicher auch energischer.
