WhatsApp: Passworterstellung auf iOS unsicher

12. September 2012, 09:42
  • WhatsApp: Messenger nutzt zu simple Passworterstellung.
    foto: whatsapp

    WhatsApp: Messenger nutzt zu simple Passworterstellung.

Einfacher MD5-Hash der MAC ID könnte einfache Account-Übernahme erlauben

Das populäre Messagingtool "WhatsApp" erzeugt zur Anmeldung des Nutzers Passwörter, die viel zu leicht zu erraten sind.

Beide Merkmale auslesbar

Wie auf Ezio Amodio nach einer Zerlegung des Codes festgestellt wurde, erzeugt die App als automatisches Passwort für die eigene Anmeldung lediglich einen MD5-Hash der MAC ID des jeweiligen Gerätes. Dies stellt ein potenziell gefährliches Einfallstor für Angreifer dar, da als weiteres Authentifizierungsmerkmal nur die Rufnummer des Users verwendet wird.

Befindet sich Benutzer des Programms nun in einem öffentlichen W-LAN, so haben andere Teilnehmer die Möglichkeit, die Rufnummer aus abgeschickten Nachrichten zu fischen. Und dies, so heise, obwohl diese seit einiger Zeit verschlüsselt verschickt werden. Die MAC-Adresse selbst ist ohnehin für jeden einsehbar. Der Accountverlust an einen Unbekannten könnte die Folge sein.

Auch Android-Passwort zu simpel

Erst vor wenigen Tagen ist bekannt geworden, dass WhatsApp auch auf Android keine übermässigen Sicherheitsvorkehrungen hinsichtlich der Anmeldung trifft. Auch hier wird einfach nur ein Hash erzeugt, und zwar von der IMEI. Im Mai hatte das Schnüffelprogramm "WhatsApp Sniffer" von sich reden gemacht, das Chats von anderen Usern auslesen konnte, sofern diese im gleichen W-LAN verkehrten. Die Entwickler hatten darauf die Verschlüsselung von Messages eingeführt.

WhatsApp ist ein enorm beliebtes Programm. Allein die Android-Version ist bereits über 50 Millionen Mal heruntergeladen worden. Täglich werden über zehn Milliarden Nachrichten damit verschickt. (red, derStandard.at, 12.09.2012)

Link:

Ezio Amodio (Google Translate)

heise

Share if you care
5 Postings

Von den Zugriffsrechten, die sich diese App einräumt, könnte man ohnehin glauben, man installiert sich einen Staatstrojaner... Zugriff auf Identitätsdaten, Telefonnummer, Accountdaten, Position, Telefonbuch, SMS, Audioaufzeichnung, Mehrwertnummern anrufen... naja, 50 Mio.+ App Downloads allein im Android Store... da soll mir einer noch damit kommen, dass Security & Privacy irgendeinen Anwender interessiert... die Masse klickt einfach durch und sch**sst drauf...

Einziger Trost: SMS bietet auch nicht mehr so viel Privacy wie noch vor 20 Jahren :)

Die Idee hinter WhatsApp ist ja an sich nicht schlecht.

Am schrägsten an WhatsApp finde ich, dass kaum einem der User bewusst ist, dass das auf dem freien Protokoll Jabber/XMPP basiert, nur etwas modifiziert und in eine proprietäre Jacke gezwängt.

Mal sehen, wann Jingle überall ordentlich in Jabber implementiert wird, dann wird's _NOCH_ interessanter :)

Aber aber ..

... das sind Features, und die werden unbedingt benötigt, tun auch zu 100%ig nichts! Damit die Leute ihr persönliche "Facebook-Welt" immer schön bei sich haben ;-)

Naja die ganzen Zugriffe ließen sich durch die eingebauten Funktionen erklären...

Aber wer weiß...

:)

...von der IMEI. Im Mai...

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.