Als SMS-Alternative ist der Dienst WhatsApp recht beliebt, kommt aber auch aus den Schlagzeilen nicht heraus. Im Sommer gab es zum Beispiel ein Spionageprogramm namens “Whats App Sniffer“im Google App Store Play, mit dem man die Kommunikation belauschen konnte.
WhatsApp hat vor kurzer Zeit seine Anmeldung auf eine verschlüsselte Authentifizierung umgestellt. Wie jetzt im Blog von Sam Granger veröffentlicht wurde, ist die aber so simpel gestrickt, dass man unter Android sehr leicht in ein fremdes Konto eindringen und im Namen dieses Benutzers Nachrichten mit WhatsApp versenden kann:
WhatsApp verwendet einfach nur die umgedrehte IMEI des Gerätes und erzeugt daraus einen ungesalzenen MD5-Hash.
Als Benutzername dient dabei die Telefonnummer, so dass potentielle Angreifer diese Daten relativ leicht mit einer Android-Standardschnittstelle auslesen können.
Auf Github findet sich eine Software, die Zugang zum WhatsApp-Dienst verspricht, und schon kann eine Nachricht im Namen eines Anderen verschickt werden.
Bei Apple’s iOS dürfte Unterfangen das schwieriger sein, da es dort keine (offizielle) Schnittstelle gibt, mit der man die IMEI auslesen kann.
Die Telefonnummer, die ja den Benutzernamen darstellt, wird allerdings trotz der eingeführten Verschlüsselung im Klartext übertragen.