Sicherheit

WhatsApp-Verschlüsselung leicht zu knacken

von - 11.09.2012
WhatsApp-Verschlüsselung leicht zu knacken
Erst seit kurzem gibt es WhatsApp mit eingebauter Verschlüsselung. Nachrichten sollen sich in öffentlichen Netzen nicht mehr mitlesen lassen. Doch auch die Absicherung der Anmeldung hat Mängel.
WhatsApp ist ein beliebter Messenger, den viele Nutzer als SMS-Ersatz verwenden. Allerdings stand die App in der Kritik, weil die Nachrichten nur im Klartext versendet wurden und daher mitgelesen werden können. Dieses Sicherheitsproblem hat der Hersteller inzwischen beseitigt. Die Nachrichten werden bei den aktuellen App-Versionen verschlüsselt übertragen.
Laut einem Blogeintrag von Sam Granger erweist sich dieser gut gemeinte Schritt als nicht gut durchdacht. Wie Granger bei seinem Android-Smartphone herausfand, generiert der Betreiber den Authentifizierungs-Schlüssel immer nach dem gleichen Schema. Er besteht einfach aus der umgekehrten IMEI-Nummer, also der eindeutigen Gerätekennung des jeweiligen Smartphones. Daraus wird dann ein MD5-Hash-Wert zur Identifizierung erzeugt. Als Benutzername dient die Telefonnummer.
Wer weiß, wie der Schlüssel erzeugt wird, kann die nötigen Daten leicht über Android-Schnittstellen herausfinden. Dazu bedarf es nur der Entwicklung einer kleinen App, die die IMEI- und Telefonnummer aus dem Handy auslesen kann. Um dann auf die Anmeldedaten der Whatsapp-Nutzer zuzugreifen, bräuchte ein Angreifer die App nur noch unter Vorgabe falscher Tatsachen in den Play-Store von Google einstellen. Angreifer könnten mit diesen Daten selbst unter dem falschen Account Nachrichten versenden oder sie beispielsweise an Spammer verkaufen.
Bei iOS lässt sich die IMEI nicht per Software auslesen. Nach Informationen von Ezio Amodio verwendet WhatsApp hier eine andere, aber nicht weniger problematische Methode. Die Basis für den Authentifizierungs-Schlüssel bildet bei iOS die MAC-Adresse des Gerätes. Auch dabei handelt es sich um eine eindeutige Kennung, die das iPhone aber bei jeder WLAN-Anmeldung überträgt und die daher noch leichter zu ermitteln ist. Wie in Android wird auch bei iOS zusätzlich die Telefonnummer für die Anmeldung benötigt.