# taz.de -- Sicherheitslücken bei WhatsApp: Löchrige Kommunikation
> Beim Versuch besonders einfach zu bleiben, ist der SMS-Ersatz WhatsApp
> auch besonders unsicher geraten. Kaum ist eine Lücke geschlossen, tut
> sich die nächste auf.
(IMG) Bild: What's up, WhatsApp? Keine Antwort.
KÖLN taz | Die Kommunikation mit der Außenwelt haben die Macher von
WhatsApp weitgehend eingestellt. Die Firma, zu deren Leidenschaften laut
Unternehmensdarstellung die Kommunikation gehört, hat auf ihrer
Unternehmenswebseite kaum etwas Neues zu berichten. Die letzte Meldung im
Unternehmensblog stammt vom Juni, auf Twitter werden nur ab und an
Statusmeldungen veröffentlicht.
Dabei gäbe es viel zu bereden. Seit im September bekannt wurde, dass es
sehr einfach war, fremde Accounts zu übernehmen, machen sich viele Nutzer
Gedanken über die Sicherheit des Dienstes. Doch das Unternehmen, das
täglich über 10 Milliarden Nachrichten für seine Kunden verschickt, hielt
es nicht nötig, seine Nutzer zu informieren. Dabei [1][war die Lücke
enorm]: Wer wollte, konnte einfach auf einer Webseite den Account eines
anderen WhatsApp-Nutzers übernehmen, in dessen Namen Nachrichten
verschicken.
Dem Dienst kam eine seiner größten Stärken in die Quere: WhatsApp ist auf
Einfachheit fixiert. Nutzer müssen nicht mal ein Passwort eingeben oder
ihre Kommunikationspartner hinzufügen – einmal installiert, lädt das
Programm das Adressbuch des Smartphones auf die Server von Whatsapp hoch
und identifiziert die Nutzer, die ebenfalls die Anwendung installiert
haben. Folge: Sofort kann der Nutzer Kurznachrichten an seine Freunde und
Bekannten senden.
Doch die Einfachheit hat eine Kehrseite. WhatsApp hat die
Nachrichtenübermittlung nicht neu erfunden, sondern setzt auf die bewährte
XMPP-Technik, die zum Beispiel auch Google für seine Messenger-Dienste
einsetzt. Wer sich mit einem gewöhnlichen Chat-Programm bei den
WhatsApp-Servern mit Handynummer und Passwort ausweist, kann einen Account
übernehmen. Doch da der Nutzer gar kein Passwort gesetzt hat, berechnet das
Programm kurzerhand einen Schlüssel aus der Handynummer und der
IMEI-Nummer, die jedes Handy eindeutig ausweist.
Doch diese Nummer ist relativ einfach auszulesen: Bei vielen Handys reicht
es, den Code *#06# in die Telefontastatur einzugeben und die IMEI wird
angezeigt. Auch App-Entwickler können die IMEI eines Smartphones abrufen.
Ist diese Nummer einmal bekannt, hat ein potenzieller Angreifer alle
Möglichkeiten, den WhatsApp-Account des Besitzers zu übernehmen.
Daran wird sich wohl so schnell nichts ändern. Zwar hatte der Dienst in
einem Update im Oktober heimlich die Einlog-Prozedur so verändert, dass
frühere Übernahmemethoden nicht mehr klappten, aber [2][wie Heise Security
berichtet], wurde nun eine neue Methode bekannt, wie sich fremde Accounts
übernehmen lassen.
## Keine Antwort für Journalisten
Als die Journalisten WhatsApp von der Lücke informierten, ließ das
Unternehmen die Redaktion mehrere Tage im Unklaren, ob die Botschaft
überhaupt angekommen war. Wann das Problem gelöst werden soll, verrät
WhatsApp nicht. „Wenn man Revue passieren lässt, wie WhatsApp bislang mit
dem Thema Sicherheit umgegangen ist, kann man eigentlich nur noch von der
Nutzung des Dienstes abraten“, schreibt Heise Security.
Für WhatsApp kommen die Berichte über Sicherheitslücken ungelegen. Bei
vielen Nutzern erscheint mittlerweile die Nachricht, dass der kostenlose
Nutzungszeitraum abgelaufen sei und nun eine Jahresgebühr von 99 US-Cent
fällig sei. Da der Dienst werbefrei ist, ist dies die einzige
Einnahmequelle. Wer WhatsApp jedoch kein Geld überweist, bekommt in der
Regel kurz vor Ablauf der Frist eine kostenlose Verlängerung. WhatsApp lebt
davon, dass möglichst viele Nutzer über den Dienst erreichbar sind – würden
plötzlich Millionen Nicht-Zahlungswilliger verschwinden, würde der Dienst
deutlich unattraktiver.
WhatsApp ist nicht der einzige Chat-Dienst mit Sicherheitsproblemen. So war
auch bei Skype über Monate eine Accountübernahme [3][relativ einfach
möglich]. Doch als die Lücke Mitte November bekannt wurde, hat das nun zu
Microsoft gehörende Unternehmen die entsprechenden Einlog-Prozeduren
geändert und zumindest die Presse informiert.
30 Nov 2012
## LINKS
(DIR) [1] /SMS-Ersatz-und-Datenschutz/!101896/
(DIR) [2] http://www.heise.de/newsticker/meldung/Erneut-Account-Klau-bei-WhatsApp-moeglich-1756224.html
(DIR) [3] http://www.heise.de/security/meldung/Account-Klau-bei-Skype-leichtgemacht-1749875.html
## AUTOREN
(DIR) Torsten Kleinz
## TAGS
(DIR) WhatsApp
(DIR) Smartphone
(DIR) Sicherheitslücken
(DIR) Pr
(DIR) Skype
(DIR) Datenschutz
## ARTIKEL ZUM THEMA
(DIR) 10 Jahre Skype: „Hörst Du mich?“
Skype wird zehn Jahre alt. Millionen Menschen telefonieren über den
Computer miteinander – und fluchen über die Verbindungsqualität.
(DIR) Sicherheitsrisiko Smartphone: Die Furcht vor den Apps
Nutzer wünschen sich „saubere“ Apps, Unternehmen viele Daten.
Verbraucherministerin Aigner reagiert nur sehr verhalten auf
Datenschutzbedenken.
(DIR) SMS-Ersatz und Datenschutz: Sicherheitslücken bei WhatsApp
Mit WhatsApp werden kostenlos Milliarden von SMS verschickt. Doch bei der
Anwendung für Handy-Betriebssysteme gibt es Mängel.
(DIR) Smartphone-Software „Joyn“: Herz-Lungenmaschine für die SMS
Die Mobilfunkanbieter verlieren Geld, weil immer mehr Nutzer statt
überteuerter SMS billige Kommunikationsdienste wie iMessage oder WhatsApp
nutzen. Nun kommt der Gegenschlag.