Experten bescheinigen Hike große Sicherheitslücken

Nicht einmal eine Woche nach dem Start des WhatsApp-Konkurrenten Hike wird massive Kritik an der Sicherheit der iOS-Version des Messengers geäußert. Denn nicht nur, dass diese – wie von den Entwicklern eingeräumt – Nachrichten unverschlüsselt überträgt: Auch Kontaktverzeichnis und die eindeutige Gerätenummer sind betroffen.

Zu diesem Schluss kommt das auf das Überprüfen von Applikationen für Mobilgeräte spezialisierte Unternehmen mediaTest digital. Die derzeit im App Store verfügbare Version 1.0.5 ruft die entsprechenden Informationen ab und überträgt diese dann (beinahe) unter Verzicht auf jegliche Verschlüsselung an die Hike-Server. SSL werde erst in den kommenden Wochen nachgeliefert, wie die Entwickler schon vor dem Start einräumen mussten.

Für Fragen sorgen aber insbesondere zwei andere Punkte. Denn zum einen wurde Hike explizit damit beworben, dass Nachrichten und andere Informationen nicht auf den entsprechenden Servern gespeichert werden würden, zum anderen dürfen Applikationen laut Apple die eindeutige Gerätenummer, UDID genannt, nicht auslesen. Gegenüber ComputerBase erklärte mediaTest digital, dass aber ausgerechnet dieser Datensatz verschlüsselt übertragen werde – womöglich, um ein Entdecken durch Apple zu verhindern. Denkbar sei aber auch, so die Experten, dass man während der Zertifizierung der Applikation diesen Sicherheitsaspekt nicht ausführlich berücksichtigt habe.

Die Hike-Entwickler widersprachen der Kritik auf Nachfrage. In einer Stellungnahme erklärte man ComputerBase, dass die von mediaTest digital genannten Daten nicht gesammelt werden. „Wir nutzen einen App-Analyse-Service, der lediglich Downloads und Laufzeiten verfolgt und aufzeichnet. Andere Daten werden nicht gesendet und es ist komplett anonymisiert.“, so die Aussage. Zudem verwies man erneut darauf, dass die verschlüsselte Nachrichtenübertragung zwischen Nutzern noch in diesem Jahr starten werde.