Sicherheit

WhatsApp bringt Update und verlangt Gebühren

von - 22.11.2012
WhatsApp bringt Update - und verlangt Gebühren
WhatsApp hat eine seit langem bekannte Sicherheitslücke gestopft. Doch für einige Smartphone-Nutzer ist die Sicherheit des Messengers künftig mit einer geringen, jährlichen Gebühr verbunden.
Dass es Sicherheit auf Dauer nicht zum Nulltarif geben kann, müssen derzeit zahlreiche Nutzer von WhatsApp erfahren. Denn die Betreiber der kostenlosen Alternative zur SMS, haben eine seit längerem bekannte Sicherheitslücke gestopft - und verlangen von den meisten Smarthphone-Nutzern ab sofort eine Jahres-Gebühr von 99 US-Cent. Betroffen sind Nutzer von Smartphones mit Android-, BlackBerry-, Windows-Phone- und Nokia/Symbian, die die App länger als ein Jahr verwenden. Bei der iPhone-Version bleibt es bis auf weiteres beim Alten. Hier zahlt der Kunde laut FAQ eine einmalige Nutzungsgebühr in Höhe von 89 Cent.
Wie com-magazin.de unter anderem im September berichtete, erlaubt die Sicherheitslücke einem Angreifer Zugriff auf die WhatsApp-Accounts anderer Nutzer. Er kann kostenlose Nachrichten unter falschem Namen versenden und auch erhalten. Dazu benötigt er lediglich die Seriennummer (IMEI) eines Android-Smartphones oder die MAC-Adresse eines iPhones und beides ist ohne großen Aufwand zu ermitteln.
Verantwortlich dafür ist ein geradezu primitiver Algorithmus, der das Passwort für die Anmeldung zum Server generiert. Als Benutzername verwendet die ungepatchte Version bislang automatisch die jeweilige Handynummer. Für den, der die Nummer kennt, ist es also ein Kinderspiel, den Account zu hacken. Für die Ausnutzung der Lücke kursierte vorübergehend sogar ein PHP-Skript im Internet, das inzwischen aber auf Druck des Betreibers entfernt wurde. Allerdings konnte das Skript nicht aus dem ganzen Netz gelöscht werden. Außerdem stellte ein deutscher Entwickler einen Webclient für den Transfer der gefälschten E-Mails zur Verfügung, über den die Nachrichten unter falschem Namen geleitet werden können.
Obwohl die Sicherheitsbedrohung durch die WhatsApp seit Monaten bekannt ist, hat sich der Betreiber bisher nicht öffentlich dazu geäußert. Nicht einmal eine Warnung waren ihnen die mehrere Hundert Millionen Nutzer wert. Deswegen schaltete sich bereits im Mai 2012 das //www.bsi-fuer-buerger.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/WhatsApp_20120518.html&ei=AZWrUPAYhs3hBKCDgLgP&usg=AFQjCNEbb3RX6Ufeh95LHPX-xi35Xcx2SA:Bundesamt für Sicherheit in der Informationstechnik (BSI) ein und empfahl den Nutzern, vorübergehend auf den Messenger zu verzichten. Im September riet dann unter anderem auch Data.sec von der Nutzung der App ab.
Die jüngsten Änderungen am WhatsApp-Protokoll erscheinen nicht im Changelog der App. Deshalb ist nicht einmal sicher, ob der Betreiber nun die Authentifizierung vor Zugriffen tatsächlich gesichert hat.
Verwandte Themen