Das populäre Messagingtool "WhatsApp" erzeugt zur Anmeldung des Nutzers Passwörter, die viel zu leicht zu erraten sind.
Beide Merkmale auslesbar
Wie auf Ezio Amodio nach einer Zerlegung des Codes festgestellt wurde, erzeugt die App als automatisches Passwort für die eigene Anmeldung lediglich einen MD5-Hash der MAC ID des jeweiligen Gerätes. Dies stellt ein potenziell gefährliches Einfallstor für Angreifer dar, da als weiteres Authentifizierungsmerkmal nur die Rufnummer des Users verwendet wird.
Befindet sich Benutzer des Programms nun in einem öffentlichen W-LAN, so haben andere Teilnehmer die Möglichkeit, die Rufnummer aus abgeschickten Nachrichten zu fischen. Und dies, so heise, obwohl diese seit einiger Zeit verschlüsselt verschickt werden. Die MAC-Adresse selbst ist ohnehin für jeden einsehbar. Der Accountverlust an einen Unbekannten könnte die Folge sein.
Auch Android-Passwort zu simpel
Erst vor wenigen Tagen ist bekannt geworden, dass WhatsApp auch auf Android keine übermässigen Sicherheitsvorkehrungen hinsichtlich der Anmeldung trifft. Auch hier wird einfach nur ein Hash erzeugt, und zwar von der IMEI. Im Mai hatte das Schnüffelprogramm "WhatsApp Sniffer" von sich reden gemacht, das Chats von anderen Usern auslesen konnte, sofern diese im gleichen W-LAN verkehrten. Die Entwickler hatten darauf die Verschlüsselung von Messages eingeführt.
WhatsApp ist ein enorm beliebtes Programm. Allein die Android-Version ist bereits über 50 Millionen Mal heruntergeladen worden. Täglich werden über zehn Milliarden Nachrichten damit verschickt. (red, derStandard.at, 12.09.2012)