WhatsApp lässt Sicherheitslücke weiter offen

12.02.15 (MDR INFO) – WhatsApp, das ist derzeit das wohl simpelste Programm, um kurze Textnachrichten oder auch Sprachnachrichten von Handy zu Handy zu verschicken. Unzählige Menschen vertrauen der App ganz persönliche Dinge an. Und sie vertrauen auf die Sicherheit der App. Doch damit nimmt es WhatsApp, welches zum Facebook-Konzern gehört, nicht immer so genau.

Im November hatte WhatsApp eingeführt, dass jeder Absender einer Nachricht mitgeteilt bekommt, wenn der Empfänger diese gelesen hat. Das führte zu einem Proteststurm, so dass WhatsApp wenige Tage später reagierte: Seitdem kann man die Funktion abschalten, wird also nicht mehr vom Absender beobachtet und kann sich immer damit herausreden, die Nachricht noch nicht gelesen zu haben.

Könnte man denken. Ist aber nicht so.

Zur selben Zeit entdeckte nämlich Felix Freiling von der Friedrich Alexander-Universität Erlangen-Nürnberg eine Sicherheitslücke bei WhatsApp. Jeder, der die Telefonnummer eines Nutzers kennt, kann damit feststellen, ob dieser gerade online ist, wie lang und wann er im Internet war. Das ist von der Auswirkung sogar noch gravierender, als der Auslöser des Proteststurms zur selben Zeit. Denn so kann man nicht nur das Internetverhalten der Empfänger seiner Nachrichten ausspionieren, sondern von allen Personen. Voraussetzung ist nur: Man muss deren Handynummer kennen.

Felix Freiling informierte WhatsApp über seine Forschungsergebnisse. Doch bis heute wurde die Sicherheitslücke nicht geschlossen. WhatsApp gauckelt dem Nutzer – nach Ansicht des Professors – weiterhin Sicherheit vor.

Denen ist durchaus bewusst, dass es diese Schwachstelle gibt und dass die ausgenutzt werden kann. Aber, wie soll man sagen, da Datenschutz einzubauen, ist vielleicht nicht das, was ganz oben auf deren Prioritätenliste steht.

Der Professor für Internetsicherheit hält sich vornehm zurück. Dabei ist die Lücke nicht nur offen, sondern lädt andere geradezu ein, in WhatsApp einzudringen.

Das Problem ist, dass WhatsApp darauf vertraut, dass man auf ihren Server nur zugreift in dem man WhatsApp benutzt. Und im Prinzip kann jeder andere so tun, als wäre er eine WhatsApp-Applikation, und dann beliebige Anfragen stellen.

Und genau das ist jetzt geschehen: Seit dieser Woche gibt es ein kleines Programm, welches sich jeder im Internet herunterladen kann: WhatsSpy ist der passende Name. Damit braucht man nicht einmal technische Kenntnisse, um von jedem WhatsApp-Nutzer zu wissen, ob oder wann er im Internet ist.
Die Lücke bei WhatsApp könnte übrigens schnell geschlossen werden, meint Felix Freiling:

Das ist implementierungstechnisch nicht so schwer.

Sprich: Das kann man schnell einbauen. Solange das allerdings nicht geschieht bleibt WhatsApp weiterhin unsicher.

Author: Michael Voß