WhatsApp: Offen wie ein Scheunentor

Seit geraumer Zeit gibt es immer wieder Berichte, wonach WhatsApp die ein oder andere Lücke hat. Erst ist es die unverschlüsselte Kommunikation zwischen Server und Client und jetzt kann jeder in eurem Namen Nachrichten verschicken, sofern er vorher an Handynummer und WIFI-MAC bzw IMEI gelangt ist. Das Problem ist relativ simpel: WhatsApp basiert auf einer etwas modifizierten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), welches auch als Jabber bekannt ist und u.A. auch bei GTalk zum Einsatz kommt. Leider setzt man auf eine relativ unsichere Authentifikation. Bei WhatsApp werden die Telefonnummer und die WIFI-MAC (unter iOS) bzw die IMEI (unter Android) für den Login verwendet.

Heißt also, wenn jemand eure Telefonnummer und WIFI-MAC oder die IMEI eures Gerätes hat, kann er in eurem Namen Nachrichten schicken, wie er gerade lustig ist.

Um das Ganze zu demonstrieren, hat die in Essen ansässige FILSH Media GmbH einen WhatsApp Web Client veröffentlicht, damit es jeder selbst ausprobieren kann.

Ich für meinen Teil werde mir jetzt erstmal etwas Zeit nehmen, um die Messenger Apps ChatON und GroupMe zu testen. Weiterhin rate ich den Entwicklern von WhatsApp, auf die Verwendung von WIFI-MAC sowie IMEI zu verzichten und den Usern die Möglichkeit zu geben, ein eigenes Passwort zu definieren.