News Weitere Sicherheitslücke in WhatsApp aufgedeckt
- Ersteller mischaef
- Erstellt am
- Zur News: Weitere Sicherheitslücke in WhatsApp aufgedeckt
Rayman2200
Ensign
- Registriert
- Mai 2005
- Beiträge
- 197
Was einige hier für Erwartungen haben ist echt erstaunlich.
Ist euch nicht aufgefallen das nach der Installation die App einfach funktioniert, ohne Username und Passwort? Was meint ihr wie sich das Handy gegenüber dem Server authentifizieren kann. Geht nur mit der Telefonnummer. Zur eindeutigen Erkennung wird noch die IMEI mitgesendet und fertig.
Einige scheinen hier echt Wunder der Sicherheit zu erwarten.
PS: Finde es nicht all zu schlimm das es nur über die Nummer und IMEI passiert. An die Daten kommt eigentlich kein Dritter ran ohne in den Besitz des Handys zu gelangen.
Das größere Problem ist, das diese Info wohl von jeder anderen App ebenfalls abgegriffen werden kann. Zu diesen Infos müsste die App noch auf die Kontakte zugreifen um die Handynummern der Buddys abzugreifen und dann den Server gezielt fragen welcher von denen ebenfalls WhatsApp nutzt.
Wer ein Problem damit hat, kann die App einfach Deinstallieren. Und nein ich will es nicht schön reden, es sind halt die Tatsachen die einem klar sein sollten.
Leider bietet die App so wie sie momentan ist, einfach nicht mehr Sicherheit.
Ist euch nicht aufgefallen das nach der Installation die App einfach funktioniert, ohne Username und Passwort? Was meint ihr wie sich das Handy gegenüber dem Server authentifizieren kann. Geht nur mit der Telefonnummer. Zur eindeutigen Erkennung wird noch die IMEI mitgesendet und fertig.
Einige scheinen hier echt Wunder der Sicherheit zu erwarten.
PS: Finde es nicht all zu schlimm das es nur über die Nummer und IMEI passiert. An die Daten kommt eigentlich kein Dritter ran ohne in den Besitz des Handys zu gelangen.
Das größere Problem ist, das diese Info wohl von jeder anderen App ebenfalls abgegriffen werden kann. Zu diesen Infos müsste die App noch auf die Kontakte zugreifen um die Handynummern der Buddys abzugreifen und dann den Server gezielt fragen welcher von denen ebenfalls WhatsApp nutzt.
Wer ein Problem damit hat, kann die App einfach Deinstallieren. Und nein ich will es nicht schön reden, es sind halt die Tatsachen die einem klar sein sollten.
Leider bietet die App so wie sie momentan ist, einfach nicht mehr Sicherheit.
einblumentopf
Lieutenant
- Registriert
- Aug. 2006
- Beiträge
- 582
xmarsx schrieb:
Weil einfach kein Schwein Jabber nutzt ... WhatsApp aber schon.
Ruheliebhaber
Captain
- Registriert
- Feb. 2010
- Beiträge
- 3.325
An alle, die glauben, das sein nicht gefährlich und man kommt nicht an die MAC oder die IMEI.
Aussage: "Ich schreibe nichts wichtiges. Das kann ruhig jeder mitlesen und an die IMEI kommt auch niemand."
Antwort: Es geht nicht darum, daß ominöse russische Hacker sich für den Inhalt Eurer Textnachrichten interessieren. Die Gefahr geht von Eurem Umfeld aus. Entweder jemand der Euch schaden oder persönliche Informationen über Euch in Erfahrung bringen will. Was ist, wenn Euer Chef beleidigende Nachrichten bekommt? Oder wenn Ihr Eurer Freundin / Freund erklären müßt, daß Ihr nicht fremdgeht? Eure IMEI bekommt man in 2 Sekunden heraus. "Oh, Du hast ein neues Handy? Darf ich mir das mal anschauen?"
Aussage: "Die haben bestimmt keine Ressourcen, um Sicherheit einzubauen."
Antwort: Die Anmeldedaten sind ein Hash, der aus der Telefonnummer und einem vom User einmalig zu vergebenen Paßwort gebildet wird. Dieser Hash wird in der Datenbank von Whatsapp gespeichert. Wenn jemand die Datenbank ausspioniert, hat er im Normalfall keine Ahnung, welcher Hash zu welchem Nutzer gehört bzw. wer sich dahinter verbirgt. Das kostet keine 10 Minuten Arbeit. Das Protokoll bzw. der eigentliche Nachrichteninhalt kann genauso leicht verschlüsselt werden. Die Kunst ist in diesem Fall, einen Algorithmus zu wählen, der ausreichend stark verschlüsselt und trotzdem ausreichend schnell auf einem Handy verarbeitet werden kann.
Aussage: "Ich schreibe nichts wichtiges. Das kann ruhig jeder mitlesen und an die IMEI kommt auch niemand."
Antwort: Es geht nicht darum, daß ominöse russische Hacker sich für den Inhalt Eurer Textnachrichten interessieren. Die Gefahr geht von Eurem Umfeld aus. Entweder jemand der Euch schaden oder persönliche Informationen über Euch in Erfahrung bringen will. Was ist, wenn Euer Chef beleidigende Nachrichten bekommt? Oder wenn Ihr Eurer Freundin / Freund erklären müßt, daß Ihr nicht fremdgeht? Eure IMEI bekommt man in 2 Sekunden heraus. "Oh, Du hast ein neues Handy? Darf ich mir das mal anschauen?"
Aussage: "Die haben bestimmt keine Ressourcen, um Sicherheit einzubauen."
Antwort: Die Anmeldedaten sind ein Hash, der aus der Telefonnummer und einem vom User einmalig zu vergebenen Paßwort gebildet wird. Dieser Hash wird in der Datenbank von Whatsapp gespeichert. Wenn jemand die Datenbank ausspioniert, hat er im Normalfall keine Ahnung, welcher Hash zu welchem Nutzer gehört bzw. wer sich dahinter verbirgt. Das kostet keine 10 Minuten Arbeit. Das Protokoll bzw. der eigentliche Nachrichteninhalt kann genauso leicht verschlüsselt werden. Die Kunst ist in diesem Fall, einen Algorithmus zu wählen, der ausreichend stark verschlüsselt und trotzdem ausreichend schnell auf einem Handy verarbeitet werden kann.
Zuletzt bearbeitet:
MysWars
Lieutenant
- Registriert
- Dez. 2008
- Beiträge
- 860
An die Jabber Empfehler:
Ist es möglich unter Jabber WhatsApp Kontakte hinzuzufügen?
Und reicht bei Android auch die MAC Adresse oder muss es da die IMEI sein? Weil eine MAC von anderen Leuten raus zu finden ist ja leider viel zu leicht, da muss der Handy nutzer nur mal aus versehen WLan angelassen haben.
Ist es möglich unter Jabber WhatsApp Kontakte hinzuzufügen?
Und reicht bei Android auch die MAC Adresse oder muss es da die IMEI sein? Weil eine MAC von anderen Leuten raus zu finden ist ja leider viel zu leicht, da muss der Handy nutzer nur mal aus versehen WLan angelassen haben.
JohnnieWalker
Ensign
- Registriert
- Juni 2001
- Beiträge
- 226
also auch wenn es wirklich leicht ist, an die IMEI anderer zu kommen, finde ich es wesentlich schlimmer, dass bei iphone die mac adresse genommen wird...
ich denke sehr viele leute werden, wenn sie bei freunden unterwegs sind, sich ins dortige wlan einwählen.. und schon kann derjenige sofort die mac adresse des jeweiligen gerätes rausfinden und somit auf euer whatsapp konto zugreifen..
ich denke sehr viele leute werden, wenn sie bei freunden unterwegs sind, sich ins dortige wlan einwählen.. und schon kann derjenige sofort die mac adresse des jeweiligen gerätes rausfinden und somit auf euer whatsapp konto zugreifen..
Rayman2200
Ensign
- Registriert
- Mai 2005
- Beiträge
- 197
@Velines
Stimme ich dir zu, habe ich echt übersehen und eben nachgeschlagen bei den SMS.
Der Absender dieser Nachricht ist mein Handy. Also schickt die App über mein Handy eine generierte Nummer an mich selber.
Der Vorgang muss irgendwie nachvollziehbar sein für den WhatsApp Server. Also es müssen immer Daten gesendet werden die auch bei einer Neuinstallation der App, sowie nach dem Reseten auf die Werkseinstellung eine Wiederfindung des Accounts möglich machen.
Interessant wäre auch der Fall eines Handywechsels. Also ist mit anderen Worten eigentlich die IMEI auch nutzlos?
Stimme ich dir zu, habe ich echt übersehen und eben nachgeschlagen bei den SMS.
Der Absender dieser Nachricht ist mein Handy. Also schickt die App über mein Handy eine generierte Nummer an mich selber.
Der Vorgang muss irgendwie nachvollziehbar sein für den WhatsApp Server. Also es müssen immer Daten gesendet werden die auch bei einer Neuinstallation der App, sowie nach dem Reseten auf die Werkseinstellung eine Wiederfindung des Accounts möglich machen.
Interessant wäre auch der Fall eines Handywechsels. Also ist mit anderen Worten eigentlich die IMEI auch nutzlos?
Ruheliebhaber
Captain
- Registriert
- Feb. 2010
- Beiträge
- 3.325
@FrAGgi: Es geht ja nicht darum, wie hoch die Wahrscheinlichkeit ist, daß sich unter Deinen Freunden ein hinterlistiger Widerling versteckt, der Dir an die Gurgel will. Es gibt ja auch noch Bekannte, Kollegen und Verwandte.
Der Punkt ist aber, was ist, wenn man zufällig der eine unter einer Million ist, den soetwas trifft? Es ist die Pflicht der Entwickler, Mißbrauch zu verhindern oder zumindest zu erschweren.
So ganz nebenbei, früher mit SMS ging das auch schon, sich als jemand anders auszugeben.
Der Punkt ist aber, was ist, wenn man zufällig der eine unter einer Million ist, den soetwas trifft? Es ist die Pflicht der Entwickler, Mißbrauch zu verhindern oder zumindest zu erschweren.
So ganz nebenbei, früher mit SMS ging das auch schon, sich als jemand anders auszugeben.
"Ich versuche es nicht schön zu reden" Das Problem ist doch nicht was zur Authentifizierung benutzt wird, sonder das diese Daten ja anscheinend völlig unverschlüsselt auf deren Servern liegen, in Zeiten wo Lulsec und Anonymous und andere sich ständig Daten von irgendwelchen (auch ziemlich großen und bekannten) Unternehmen aneignen ist das doch ein schlechter Witz.
Also ich kann nur von mir sprechen... Ich habe von meinem HTC Desire auf ein SGS2 gewechselt, und WhatsApp hat es nicht wirklich interessiert ob es ein neues Handy ist. Ich habe meine Rufnummer eingegeben, OK gedrückt und konnte weiter machen.Rayman2200 schrieb:
C
carom
Gast
xAnimAx schrieb:
Woher weißt du das, wenn man fragen darf?
MichiSauer
Commander
- Registriert
- Feb. 2008
- Beiträge
- 2.839
Ich sehe das Problem eher weniger gefährlich.
Ich schreib eig nur wenig über whatsapp, was gefährlich wär.
Zudem schreib ich nur von meinem eigenen Handy und geb das eig auch nicht aus der Hand.
Wenn jemand natürlich meine IMEI und meine Nummer bei Whatsapp selbst hackt... na dann herzlichen Glückwunsch an den.
Ich hab in Whatsapp keine wichtigen Geschäftskontakte hinterlegt. Die hab ich dann doch immer noch lieber aufm Zettel dabei, als aufm Handy.
Da kann mir also nix passiern und meine Freunde kennen mich. Ende der Geschichte.
Ich schreib eig nur wenig über whatsapp, was gefährlich wär.
Zudem schreib ich nur von meinem eigenen Handy und geb das eig auch nicht aus der Hand.
Wenn jemand natürlich meine IMEI und meine Nummer bei Whatsapp selbst hackt... na dann herzlichen Glückwunsch an den.
Ich hab in Whatsapp keine wichtigen Geschäftskontakte hinterlegt. Die hab ich dann doch immer noch lieber aufm Zettel dabei, als aufm Handy.
Da kann mir also nix passiern und meine Freunde kennen mich. Ende der Geschichte.
FrAGgi
Commodore
- Registriert
- März 2005
- Beiträge
- 4.778
Ruheliebhaber schrieb:
Natürlich, wenn es einen dann trifft, hat man das Problem an der Backe. Aber es ist genauso, als wenn ich jemanden mal eben an meinen Laptop lasse. Der kann sich dann ja auch meine gespeicherten Passwörter angucken, und und und.
xAnimAx schrieb:
Sicher, wenn diese Daten wirklich unverschlüsselt auf den Servern des Betreibers liegen sollten, ist das eine Frechheit und muss behoben werden. Daran gibt es nichts zu rütteln.
Mr.Wifi
Banned
- Registriert
- Apr. 2008
- Beiträge
- 1.695
Was bin ich froh dass mein Umfeld diese App nicht nutzt und auch den Facebook Hype nicht mitgemacht hat. Glück gehabt.
Mit Leuten die Whattsapp und Facebook nutzen möchtze ich gar nichts zu tun haben, ist auch ein guter Filter um neue gleichgesinnte kennen zulernen
Person 1: Hast du facebook? Hast du Whattsapp?
Person 2: Ja
Person 1: Ich nicht, auf Wiedersehen
Ist doch wirklich so, die meisten die sich keinen Kopf über Datenschutz machen sind Mitläufer und durch Massenmedien manipulierte Konsum junkies mit eher oberflächlicher Mainstream Einstellung zu sämtlichen Themen. Schon bezeichnend dass sich immer die Produkte bei der Masse durchsetzen die keinen F*ck auf Datenschutz geben und die Nutzer verarschen.
Da sind doch Leute gleich interessanter und cooler die sowas nicht nutzen, eben Leute mit Prinzipien, darauf lässt sich immer aufbauen.
Mit Leuten die Whattsapp und Facebook nutzen möchtze ich gar nichts zu tun haben, ist auch ein guter Filter um neue gleichgesinnte kennen zulernen
Person 1: Hast du facebook? Hast du Whattsapp?
Person 2: Ja
Person 1: Ich nicht, auf Wiedersehen
Ist doch wirklich so, die meisten die sich keinen Kopf über Datenschutz machen sind Mitläufer und durch Massenmedien manipulierte Konsum junkies mit eher oberflächlicher Mainstream Einstellung zu sämtlichen Themen. Schon bezeichnend dass sich immer die Produkte bei der Masse durchsetzen die keinen F*ck auf Datenschutz geben und die Nutzer verarschen.
Da sind doch Leute gleich interessanter und cooler die sowas nicht nutzen, eben Leute mit Prinzipien, darauf lässt sich immer aufbauen.
das problem ist das es zu viele clienten gibt. whatsapp ist halt der wo einigermaßen viele nutzen.
es gibt zu viele messenger. für einen einheitlichen standart gibts halt die gute alte sms. kostet halt.
wie sieht es eigentlich mit skype aus. ist es am handy so "sicher" wie am pc ?
vertraue keinem mehr heute. überall spionage. man kann nicht mal nen furz lassen. mit den neuen handys sind wir 24 stunden unter big brother. und das ist kein witz. denkt mal darüber nach.
schöne neue welt - big brother is whatshing you
habe kein facebook. ja - ich lebe noch
es gibt zu viele messenger. für einen einheitlichen standart gibts halt die gute alte sms. kostet halt.
wie sieht es eigentlich mit skype aus. ist es am handy so "sicher" wie am pc ?
vertraue keinem mehr heute. überall spionage. man kann nicht mal nen furz lassen. mit den neuen handys sind wir 24 stunden unter big brother. und das ist kein witz. denkt mal darüber nach.
schöne neue welt - big brother is whatshing you
habe kein facebook. ja - ich lebe noch
Zuletzt bearbeitet:
