WhatsApp: Neue Android-Sicherheitslücke entdeckt

Nach der Übernahme des Messaging-Dienstes WhatsApp äußerten viele die Vermutung, dass ihre Daten beim neuen Besitzer Facebook nicht sicher seien oder missbraucht werden könnten. Nun zeigt sich: Unsicher geht es auch ohne Facebook-"Hilfe". Zum Thema WhatsApp und Sicherheit gab es schon seit einer Weile keine dramatischen Sicherheitslücken mehr zu vermelden, Ende 2012 war das noch anders, damals wurde bekannt, dass der beliebte SMS-Ersatz-Dienst die Nachrichten lange Zeit völlig unverschlüsselt übertragen hat.

Ein niederländischer Sicherheitsforscher hat nun aber eine Schwachstelle entdeckt, die an die nicht allzu "guten" alten Zeiten erinnert: Wie Bas Bosschert auf seinem Blog schreibt (via Business Insider), können Angreifer auf den Chat-Verlauf der App zugreifen, wenn der Nutzer bestimmte Berechtigungen freigibt.

WhatsApp speichert laut Bosschert seine Datenbank nämlich auf der SD-Karte. Erlaubt der Nutzer einen Zugriff auf die SD-Karte, dann können andere Anwendungen auf diese Datenbank zugreifen: "Und weil die Mehrheit der Leute auf ihren Android-Smartphones alles erlaubt, ist dieser Zugriff kein allzu großes Problem", schreibt Bosschert.

Als Beispiel nennt er ein Spiel, in das der benötigte Code eingebettet sein könnte: In diesem Fall würde man das Game starten, zur Erfassung der WhatsApp-Datenbank käme es dann bereits während des Lade-Bildschirmes. Der Nutzer hat dabei erwartungsgemäß keine Chance, den Vorgang als nicht rechtmäßig zu erkennen.

Der Niederländer hat den entsprechenden Code (als so genanntes "Proof of Concept", kurz PoC) auf seinem Blog veröffentlicht. Auf Rückfrage schreibt er in den Kommentaren außerdem, dass das gestern veröffentlichte WhatsApp-Update keine Auswirkung auf diese Schwachstelle habe, Bosschert hat es mit der neuen Version getestet und das PoC funktioniere nach wie vor.

Siehe auch: Tschüss WhatsApp - das sind die Alternativen