Whats-App: Nachrichten fälschen leicht gemacht

Die Meldungen über Sicherheitsprobleme der Nachrichten-App WhatsApp reissen nicht ab. Auch nicht, nachdem zumindest die iOS-Version der Anwendung seit rund einem Monat Nachrichten verschlüsselt überträgt. Noch immer ist es offenbar ein Leichtes, die Sicherheitsvorkehrungen der App zu umgehen.

Dies demonstriert der deutsche Programmierer Sascha Gehlich eindrucksvoll anhand seines WhatsApp Web Clients. Über diese kleine Webanwendung kann man WhatsApp-Nachrichten verschicken, ganz ohne Handy. Dabei lassen sich auch Nachrichten im Namen anderer leicht verschicken – alles, was es dazu braucht, ist die Mobilfunknummer sowie die IMEI (Android) respektive die MAC-Adresse (iPhone) des entsprechenden Smartphones. Bei der IMEI handelt es sich um eine eindeutige Identifikationsnummer, die sich allerdings leicht auslesen lässt – noch leichter lässt sich die MAC-Adresse eruieren, die beispielsweise auch zum Aufbau einer WLAN-Verbindung benötigt wird.

Hat man diese beiden Angaben, kann man sich im Web Client einloggen und Nachrichten im Namen anderer verschicken, ohne dass diese davon Wind bekommen. Die Tatsache, dass man bei WhatsApp kein Passwort zur Authentifizierung braucht, mag zwar bequem sein, hat aber definitiv auch ihre Schattenseiten. Denn die Anwendung generiert das Passwort einfach aus der Mobilfunknummer in Kombination mit der IMEI oder MAC-Adresse.

«Die Lücken sind erschreckend», so Sascha Gehlich gegenüber gulli.com. «Du glaubst nicht, wie oft ich den Kopf geschüttelt habe, als ich den Webclient geschrieben habe.»