Wer heutzutage ein Smartphone kauft, dem legen die Bekannten schnell nahe sich die Chat-App WhatsApp zu installieren. Leider macht die beliebte Applikation derzeit negative Schlagzeilen. Viele Experten raten zur Löschung.
Datenschutz wird in den deutschen Medien und der deutschen Politik immer wieder zum Aufregerthema hochstilisiert. Meist geht es dabei um soziale Netzwerke, wie z.B. Facebook. Doch ein Programm das derzeit für weitaus mehr Wirbel in der Szene sorgt, von den großen Medien bisher aber unberührt, ist die beliebte App WhatsApp. Die Applikation ist schnell installiert. Ein kurzer Download, danach wird das eigene Telefonbuch auf den WhatsApp-Server hochgeladen und mit den darauf vorhandenen Daten abgeglichen und schon hat man alle seine Kontakte, die ebenfalls WhatsApp nutzen in seiner Kontaktliste.
Doch allein dieses fragwürdige Vorgehen, also die Daten von Nicht-Nutzern ungefragt durch den Upload der Nutzer zu erfassen, ist nicht der Aufreger. Wie in den letzten Tagen herauskam, glänzt die App durch eine schlicht unprofessionelle Programmierung und offenbart dadurch enorme Sicherheitsmängel. Bis August 2012 wurden Text-, Bild- und Videonachrichten in W-Lan und UMTS-Netzen komplett unverschlüsselt gesendet. Die Verschlüsselung, die am 24. August 2012 per Update in das Programm kam, ist allerdings mehr als schwach.
Schwache Verschlüsselung ermöglicht Übernahme des WhatsApp-Kontos
Zum einen schwirrt die Telefonnummer des Nutzers weiterhin im Klartext durch die entsprechenden Funknetze, wodurch ein Mitlesen in offenen W-Lans problemlos möglich ist. Auf dem WhatsApp-Server wird die Telefonnummer als Nutzername gespeichert und die MAC-Adresse des Smartphones als Passwort gesetzt. Besonders beim Passwort wird es haarig. Die Programmierer setzen auf den sogenannten MD5-Hash der doppelten Mac-Adresse, also ein Algorithmus, den selbst wenig geübte Hacker ermitteln können. Bei Android wird die Seriennummer des Gerätes einfach umgedreht.
Das Problem, die MAC-Adresse ist nicht unbekannt, da sie sowohl in den Info-Einstellungen des iPhones, als auch in jedem W-Lan Netz mit minimalem Aufwand ausgelesen werden kann. Durch die auslesbare Telefonnummer und MAC-Adresse hat der potenzielle Übeltäter, somit recht schnell Benutzername und Passwort für WhatsApp zusammen und benötigt nun nur noch einen WhatsApp-Client, der per PHP von Anfängern programmiert werden kann. Über einen solchen Client und die vorhandenen Nutzerdaten, kann nun bequem im Namen einer anderen Person bei WhatsApp geschrieben werden.
Peinliche, verfängliche, vielleicht sogar kriminelle Nachrichten lassen sich also im Namen einer anderen Person verfassen und verschicken. Wozu dies führen kann, überlasse ich der Phantasie des Lesers. Die Art und Weise, wie diese App programmiert wurde, zeigt, wie unbedacht mit Nutzerdaten umgegangen wird. Ob WhatsApp die Sicherheitslücke schließen wird, ist unbekannt, da sich die Macher bisher nicht zur Problematik äußern.
Alternativen zu WhatsApp
Neben dem auf dem iPhone integrierten iMessage, das sich leider auf die Kommunikation unter Apple-Geräten beschränkt, bietet der AppStore einige Alternativen zu WhatsApp. Ich selber habe den Kik Messenger auf meinem iPhone installiert, der eine Anmeldung mit einem Benutzernamen erfordert. Der Vorteil: Ich muss mein Adressbuch nicht hochladen. Andere Nutzer fügen mich einfach über meinen Benutzernamen hinzu, ähnlich wie es früher bei ICQ gemacht wurde. Von ICQ gibt es übrigens ebenfalls eine iPhone App. Skype und Co. sind ebenfalls gut über die mobilen Anwendungen nutzbar. Einen größeren Überblick bietet ein Artikel des digitallife blog.
Leider glaube ich, dass die wenigsten Nutzer WhatsApp den Rücken kehren werden. Zum einen auf Grund der geringen Berichterstattung über dieses Thema, wodurch der breiten Masse das Problem gar nicht bekannt ist und zum anderen weil gerade deutsche Nutzer Gewohnheiten nur sehr langsam ablegen.