WhatsApp-Verschlüsselung: Sicherheit geht anders

Die Anbieter des Smartphone-Messengers WhatsApp haben zwar kürzlich eine Verschlüsselung der Nachrichten in ihr Programm integriert, diese bietet allerdings nur einen rudimentären Schutz vor unbefugten Mitlesern. Das berichtet der niederländische ... mehr... Internet, Logo, Chat, whatsapp, Kurznachrichten Bildquelle: Whatsapp.com Internet, Logo, Chat, whatsapp, Kurznachrichten Internet, Logo, Chat, whatsapp, Kurznachrichten Whatsapp.com

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Schwach von den Entwicklern.
 
@iWindroid8: Wenigstens salten hätten sies können.
 
@iWindroid8: Muss sich ja schliesslich einfach in die Überwachungssysteme der Regierungen implementieren lassen.
 
@iWindroid8: Mein Gott, als ob jemand eine IMEI Liste anfertigt und dann anfängt WhatsApp Nachrichten zu Brute Forcen, man muss auf dem Teppich bleiben ... Was wird denn bei WhatsApp so tolles geschickt? Alle die ich kenne führen nur ein bisschen Small Talk darüber, in Whats App Nachrichten werden sich kaum Kreditkartennummern, Betriebsgeheimnisse und sonstiges finden ... Hauptsache Kritik !
 
@sandrodadon: Das gleiche kann man von 99,99 aller Telefonate, SMS, eMails, usw sagen dennoch sind unter anderem die Behörden recht scharf auf diese Daten. Und selbst der Geistige Durchfall dieser Welt hat für z.B: Facebook den absoluten Wert!
 
@sandrodadon: Das FBI hat diese Liste doch schon laengst an AntiSec uebergeben :)
 
@sandrodadon: Hochangestellte Manager bei Mercedes etc. hatten mit meinem Verwandten sich über MSN und Skype unterhalten, wenn es um Aufträge und den Status des Auftrages ging. Also warum nicht auch Whatsapp?
 
Schwach von den Leuten die so eine Schnüffelsoftware nutzen. Ist denn überhaupt bekannt was whatsapp alles vom Handy wohin? sendet? Datenschutz geht anders.
 
@Rasputin: Du widersprichst dich irgendwie ganz schön. "Schnüffelsoftware" VS. " Ist denn überhaupt bekannt was whatsapp alles vom Handy wohin? sendet?"
 
@kubatsch007: nicht unbedingt...man weiß ja dass das Telefonbuch hochgeladen wird aber was sonst noch weiss man nicht wirklich
 
@0711: Man weiß zumindest, dass WHatsApp die Sachen nicht verwenden und verkaufen kann.

Dank den Datenschutzbedingungen ;).
 
@Rasputin: WhatsApp Handy an einen AP hängen, diesen an einen Hub (das wäre am einfachsten) hängen und per Wireshark o.ä. mitlesen, HF.
 
Und das, obwohl ich erst gestern meine Login Daten fürs Onlinebanking in einer Whatsapp Unterhaltung verbreitet habe und jeden Tag auf 2 Spielverschiebungen im Fussball via Whatsapp wette. Man Man, das ist ärgerlich! :(
 
WhatsApp hat ja ganz schön viele lücken!
 
android ist halt schweizer käse. auf meinem windows phone sind viren garnicht möglich, folgedessen kann auch keiner die IMEI nr. rausfinden
 
@freakedenough: *YAWN*
 
@freakedenough: Dazu brauchte kein Virus.
 
@freakedenough: was hat das jetzt mit android zu tun? denkste unter wp wird das verschlüsselungs-pw anders erzeugt?
 
@He4db4nger: Ja, denn unter Windows Phone gibt es für Apps keine Möglichkeit die IMEI auszulesen. Das schließt aber auch WhatsApp ein. Falls WhatsApp auf WP also irgendeine andere Geräte- oder Benutzerspezifische Information zur Passworterzeugung, KÖNNTE eine andere App diese Information ebenfalls auslesen und and irgendjemanden schicken, allerdings müsste der Nutzer diese App eben selbst installieren.
 
@slimshady322: möglich ist das schon, aber nicht unbedingt vom System aus sondern über Umwege.. aber welchen Cracker stören schon umwege^^
 
@He4db4nger: Nicht allgemein. Die einzige Möglichkeit bestand unter 7.0 (nicht 7.5) für "gejailbreakte" Handys von Samsung, aber dann musste man eben selbst eine App über den PC "sideloaden". Wenn die WhatsApp Verschlüsselung aber zB. auf der unique ID basiert, kann das auch jede App mit den entsprechenden Berechtigungen (device identity) auslesen, aber dann fehlt eben noch die Handynummer.
 
@freakedenough: Wer´s glaubt wird Selig...
 
@freakedenough: Mich wundert es gerade das du überhaupt ein Smartphone anbekommst. Sry aber dein Post ist total an der Problematik vorbei und ziemlich "Dumm" sry... WP kann man genauso auslesen, + iOS . Davon abgesehen liegt das Problem HIER nur bei Whatsapp da sie einfach zu Faul sind sich nen Algorithmus auszudenken. Mfg
 
@freakedenough: glaub du hast den kommentar des tagen raus gehaun XD. GEIL
 
@Jani1980: Nun, so unrecht hat er nicht, ich behaupte sein Kommentar ist einfach nur schwach formuliert mit einem kleinen hauch von Bashing. Wenn du auf dem System einen Virus (Virus als Überbegriff von unerwünschter Software am System) haben kannst, kann auch unbemerkt deine IMEI ausgelesen werden. Wenn dies nicht der Fall ist wie z.B. bei Windows Phone (zumindest gibt es noch keinen bekannten Virus für Windows Phone der sich unerlaubt am System installieren kann), dann kann auch niemand ohne zutun deine IMEI auslesen. Wenn du jetzt aber eine Software installierst die die IMEI ausliest und in ihrer DB speichert (mit Telefonnummer) und dann hast du natürlich ein Problem und das auf jedem System, egal ob Android, Windows Phone, Blackberry oder iOS
 
@Ludacris: oh man -.- das whattapp und jeder andere scheiss an app nicher ist sicher sollte wohl jedem klar sein -.-!!! lücken und türen wird man immer finden wie gegen updates wieder neue lücken und türen. wer so dumm ist und datenfrei gibt im chat is halt mit dummheit und unwissen geboren und weiss halt nicht was er tat ausser es war ein joke von ihm was es sicher war... NAP hat schon seine bedeutung bei einigen -.-.
 
@Ludacris: Habe bisher noch keine Nachricht gelesen, daß Android von einem klassischen Virus befallen wurde. Immer musste der Benutzer zustimmen/hat der Benutzer das Ding selbst installiert. Von daher ist Android nicht anfälliger für Viren als die anderen Systeme.
 
@freakedenough: sry aber das ist das gleiche geschwätz von den applefanboys
 
Der Angreifer muss also erst Zugriff auf das Smartphone (z.B. über die Installation einer App) haben und dann auch noch im gleichen WLAN hängen. Wäre es da nicht einfacher, mittels der installierten App das Handy komplett zu überwachen statt nur die IMEI auszulesen? Also ist das Problem wohl eher ein theoretisches. Mal davon abgesehen, dass wohl kein vernünftiger Mensch auf die Idee käme, über WhatsApp wirklich vertrauliche Daten zu versenden.
 
Zitat Wikipedia: "Laut Stiftung Warentest sendet WhatsApp zudem das komplette Adressbuch des Nutzers unverschlüsselt an einen US-Server und ist damit für potenzielle Angreifer problemlos lesbar." - Das Adressbuch wird nicht einmal schwach verschlüsselt und wird von allen Nutzern auf einem US-Server gesammelt. Ich hab zu meinen Kontakten nicht nur Telefonnummer im Adressbuch (was auch schon schützenswert genug wäre), sondern noch jede Menge darüber hinausgehende persönliche Informationen, u.a. vollständige Anschrift, Geburtstag, Verknüpfung mit Facebook- und Windows Live-Profil etc.. Ich würde das als unverantwortlich ansehen, wenn ich mir jetzt ne App installiere, die das alles unverschlüsselt in die USA lädt.
 
@mh0001: Wusste ich gar nicht, unterstützt aber meinen Entschluss WhatsApp nicht zu nutzen.
 
@Knerd: Ist für mich auch ein K.O.-Kriterium. Nur weiß ich, dass es einige meiner Freunde benutzen, die meine Kontaktdaten bei sich gespeichert haben. Hat man selber ja keinen Einfluss dann drauf, wenn jemand, der das entweder nicht weiß oder es als weniger wichtig abtut, sich Whatsapp installiert.
 
@mh0001: Stimmt auch wieder. Es nicht zu nutzen ist aber schon einmal ein Schritt in die richtige Richtung :)
 
@mh0001: Unverschlüsselt nach Deutschland wäre aber okay? Hm. Gut.
 
@Jamie: Ne, hab ich das gesagt? Es würden jedoch zumindest erheblich strengere Datenschutzrichtlinien gelten. Datenschutz in den USA kannst du verglichen mit der EU in die Tonne treten. Und wenn was passiert, dann klag mal als Europäer gegen irgendeine Firma in den USA, die mit deinen Daten fahrlässig umgegangen ist, viel Spaß.
 
@Jamie: Er hat nie davon gesprochen, dass ein BRD-Server in Ordnung wäre...
 
@Shadow27374: Nö. Er hat nur davon gesprochen, dass es in die USA nicht gut wäre. Stimmt, wenn ich explizit ein Land erwähne, dann ist es natürlich klar, dass es in andere (bspw das "Heimatland") auch nicht okay wäre. Wie es ja schon die Deutschen Datenschützer immer wieder anprangern; "Wie kann ein US Unternehmen Daten in Amerika hosten.. und nicht in Deutschland".
 
@Jamie:Naja ich finde ein Unternehmen sollte schon ab einer gewissen Größe die Daten eines User in seinem Heimatland speichern wegen der Gesetze (ok als Amerikaner würde ich mir das dann wieder nicht wünschen).
 
@Shadow27374: Naja in der BRD gibt es so was den P.A.T.R.I.O.T Act.
 
@mh0001: Das gilt aber nur, wenn man diese Synchronisierung zugelassen hat, nur nebenbei bemerkt.
 
@mh0001: Ich gelesen, dass nur die Telefonnummern übertragen werden und dass dies mittlerweile verschlüsselt geschieht.
 
@mh0001: soweit ja alles richtig was du da schreibst. aber wozu brauchst du in deinen kontakten den ganzen anderen schrott ausser die tel. nummer?
wobei ja schon, wie du selbst sagst, das auslesen der nummer schlimm genug ist nur ohne die funzt whatsapp eben nicht.
 
@cjtk: Soll ich mir alle Adressen im Kopf merken? :)
Wenn ich jemanden besuchen will und ich mir die Adresse notiere, schreib ich sie halt in mein Adressbuch. Warum sollte man das denn woanders machen? Für das Smartphone extra eine separate nur-Telefonnummer-Kontaktliste zu führen, ist mir zu aufwendig, ich synchronisier das mit Outlook, und da steht nunmal alles drin.
 
@mh0001: Klarer fall von Smartphone user wo das Phone smarter ist als der user.:) warum hinterfragt jemand sowas? Meint er diese Felder sind da um nicht genutzt zu werden
 
@mh0001: Das Gesamte Adressbuch ist auch ein dehnbarer Begriff - bedeutet das nun dass alle Kontakte mit allen Zusatzinfos auf den Server lädt oder nur ALLE Telefonnummern (was imo. a) sinnvoller ist da sonst unnötige Datenmengen aufkommen und b) ebenfalls unter "gesamtes Adressbuch" fallen würde
 
@mh0001: Installier dir mal LBE und wähle selbst was du zulässt oder auch nicht. Sicher keine 100%ige Lösung, aber in Sachen Android App ein MUß. Da kriegt man teilweise große Augen, was so einige Apps an Hintergrundinfos verweden, welche in meinen Augen keinen Sinn mit der jeweiligen App haben.
 
Faule Bande, mehr brauch man dazu nicht sagen. Hätten sie sich einfach nen richtigen Algorithmus ausgedacht mit anderen / unbekannten Ausgangsdaten.
 
@SebastianM: eine Begründung für das - wäre sehr nett.
 
Weswegen dann nicht gleich richtiges XMPP?
 
@Thaodan: Weil es cool ist sein eigenes Süppchen zu kochen - Facebook verwendet ja auch ein angepasstes XMPP (soweit ich weiß)
 
@Ludacris: Ja Facebook verwendet XMPP wie weit dieses angepasst ist Ka, aber so viel ich weiß ist der XMPP Chat unverschlüsselt.
 
....und? Seit bald 20 Jahren gibt immer noch eine offene Lücke im GSM Dienst. Dank dieser Lücke kann man ganze Mitschnitte eines Telefongesprächs und ein Teil eines SMS's abfangen... Eben, welcher Dienst ist hier der Schlimmere?
 
@AlexKeller: Eher die XMPP Umsetzung Whatsapp da mehr Daten versandt werden.
 
Weiß jemand ob Whazapp die Lücke auch hat?
 
@Thaodan: a) ist das keine Lücke sondern ein schlecht designter Algorithmus und b) kann man nicht wissen, da es sich dabei um eine selbstentwickelte app von ein paar Tüftlern handelt.
 
@Ludacris: Die App ist aber unter der GPL v2 also kann dies durch aus bekannt sein. Das das nicht wirklich eine "Lücke" ist ist mir klar.
 
@Thaodan: Gut, das sie OS ist wusste ich nicht, sollte dann aber recht einfach herauszufinden sein.
 
@Ludacris: Es ist eine Lücke! Schlecht designte Security ist eine Lücke. MD5 ist seit gefühlten Jahrhunderten kein Sicherer Hash mehr. Ein bisschen zahlen umstellen zur Verwirrung ist ebenfalls lächerlich. Ich bau dir in 2 Std ein Whatsapp Client mit dem ich zuhören kann bei wem ich auch immer möchte. Ich brauche nur eine IMEI und Telefonnummer. Beides keine großen Hürden. Whatsapp ist wohl die schrecklichste XMPP implementierung die es gibt.
 
@ThreeM: wenn du mir einen whatsapp Client baun kannst wär ich dir sehr dankbar, ich würde es nämlich bevorzugen vom PC aus zu schreiben :)
 
@Ludacris: Hier, ist zwar fürs N900, läuft aber unter Java und startet bei mir unter Debian ohne Probs. Sollte auch unter windows laufen. Allerdings hat Whatsapp wohl in den letzten 3 Tagen das Crypto zur Pflicht gemacht, atm funktioniert der Login nicht mehr. (Ob das auch auf diesen Java Client zutrifft kann ich dir nicht sagen, ich verwende hier Yappari) http://uppit.com/4i237vff0xdo/whatsapp_n900_alpha2.jar
 
unter android gaukele ich jeder Anwendung die meine IMEI will mehrmals pro sekunde eine andere neue nummer vor. könnte man so überhaupt noch WhatsApp nutzen weil sich dann ja ständig auch mein schlüssel ändern würde ?!
 
@tobi14: Nö. Whatsapp geht mit unterdrückter IMEI nicht. Was aber auch gut so ist. Immer diese Panikmacherei.
 
@Jamie: An der ganzen Whatsapp entwicklung ist was genau gut? ein mmessenger neben vielen auf dem markt der zudem noch auf eine imei bassiert, welche eine bindung an smartphones voraussetzt .. tolle entwicklung
 
@-adrian-: Kostenlos und wirklich verdammt weit verbreitet. Was soll daran schlecht sein? Schau dir Joyn an, nicht mal richtig auf dem Markt und bereits zerrissen. Wer es als "sinnlos" abtut, hat einfach keine Leute, welche es auch nutzen - wenn man hingegen welche hat, ist es mehr als nur sinnvoll.
 
@Jamie: Ich verbringe mehr als 10 stunden am Tag an einem PC. Ich werde wohl wissen wie man moderne kommunikation nutzt,. ich kann dir eins sagen - mit whatsapp hat mit mir noch keiner kommuniziert. komisch. muss an whatsapp liegen.
 
@Jamie: Kostenlos ist es nicht wirklich. Auf Android nur im 1. Jahr und auf iOS muss man auch zahlen. Weit verbreitet mag zutreffen, aber z.B. SMS ist weiter verbreitet. Bei heutigen Tarifen haben 99% der Leute eine SMS Flat. Und ja ich finde es nicht sinnvoll, eine Software zu verwenden, die womöglich recht einfach abgehört werden kann. Kann diesen Hype um die App gar nicht nachvollziehen.
 
@Arhey: Ich kenn bisher keinen, egal ob Apple oder Android, welche je für Whatsapp gezahlt hätten. Das wurde immer (und wenns erst n Tag vorher war) um n weiteren Zeitraum (6-12 Monate, manchmal sogar 10 Jahre) verlängert. In meinem Freundeskreis hatten auch viele ne SMS Flat; Internet Flat dazu, irgendwann hat es die SMS Flat abgelöst. Natürlich, sieht jeder anders .. abhören find ich relativ (was bei GSM auch seit Jahren möglich ist), wenn man bedenkt, was der 'Ist' Zustand sein muss, damit man es abhören kann .. @-adrian-: Ist ja auch relativ unmöglich. Außer jemand emuliert die Apk auf dem Computer ;)
 
@Jamie: Dennoch um es bei GSM abzuhören muss jemand in unmittelbarer Nähe sein und es explizit darauf absehen. Bei Whatsapp kann das jeder von überall auf der Welt machen. Man sollte nicht Äpfel mit Birnen vergleichen.
 
@Jamie:
Die IMEI wird bei mir aber nicht unterdrückt sondern ständig gewechselt!
 
@tobi14: Dürfte trotzdem nicht gehen. Oder? Hm. Ausprobieren und mal bescheid geben, wäre interessant.
 
Anwender denen das Prozess des Nachdenkens nicht fremd ist, sollten das Programm meiden.
 
Meine Gespräche sind nicht so geheim, dass es mich stören würde, wenn jemand mitliest... Bin kein Terrorist und hab auch keine Drogendeals vor... kann mitlesen wer will...
 
@citrix no. 2: http://de.webfail.at/image/die-polizei-seit-stunden-vor-unserem-haus-facebook-statusmeldung-winfail.html
 
@citrix no. 2: Du übertriffst sogar die Aluhut-Fraktion.
 
@main: Soll halt jemand ne Latte bekommen, wenn mir meine Frau schreibt, wie sie mir am Abend einen bläst .... stört mich nicht :)
 
WhatsApp ist so ziemlich überbwertet eigentlich vergeudet man damit Speicherplatz sowie ressourcen.
 
@Menschenhasser: In anderen Worten: Man spart damit Geld.
 
@Menschenhasser:
Naja. WhatsApp ist die einfachste Möglichkeit für Smartphone Besitzer der SMS zu entkommen.

Email und andere Messenger nutzen nämlich die wenigsten. Trotz Smartphone.
 
@sebastian2: Obwohl jedes Gammel-Phone das Original XMPP kann und das je nach Anbieter sogar für mehr als Textnachrichten.
 
@Thaodan: Also meins kann kein XMPP. Auch hier ist eine extra App von nöten.

Dazu eben mit den Nachteilen wie extra Registrierung, zusätzlichen Usernamen usw. usf.

Bei WhatsApp ist da eben der Vorteil der Telefonbuch Integrierung etc.
 
@sebastian2: Registrieren musst du dich bei jedem Anbieter auch bei WhatsApp, schade das es kein richtiges XMPP kann. Das dein Handy mit Windows Phone kein XMPP kann ist halt eben MS die unterstützen nicht gerne offene Formate/Standards (richtig offene nicht so ein Pseudo Open Format wie OpenXML).
 
@Thaodan: 1. habe ich Android.

2. ist das bei WhatsApp für mich keine wirkliche Registrierung.
App an, ok klicken fertig.

Bei XMPP ist das doch was anderes.
Von den gefühlten 628628268 verschiedenen Servern mit unterschiedlichen Endunen will ich gar nicht erst anfangen.

Ich betreibe selbst einen XMPP Server.
Aber ich würde den definitiv nicht einen DAU oder sowas empfehlen.

Da ist WhatsApp doch um einiges einfacher und akzeptierter.
 
@sebastian2: Hat Android immer noch nicht so was (oder gleich direkt) Telepathy? War es nicht so das ich von egal welchem Server aus mich mit jemanden verbinden kann? Das Argument das Auswahl schlecht ist zählt nicht.
 
@sebastian2: Whatsapp IST XMPP. Nur das im Client halt der Whatsapp Server angegeben wurde und man das Protokoll so schlecht implementiert hat, das es Endanwender freundlich ist. Ohne sich groß Kopf gemacht zu haben.
 
@sebastian2: Gut, Facebook ist nicht besser, aber das nutzen fast alle in meinem Umfeld. Und die, die es nicht nutzen haben kein Smartphone ;)
 
@Knerd: Solange Facebook die App so beschissen programmiert, ist die für mich keine Alternative ;).
 
@sebastian2: Windows Phone :P
 
@Knerd:
Naja, was bringt dann mir eine tolle App. Wenn dann der gegenüber Probleme hat? ;).
 
@sebastian2: Die App nutze ich gar nicht :D Die meisten nutzen eh nur die Messenger App ;)
 
Das mit der verschlüsselung hat vorher schon nur 0.001% interessiert weil niemand wirklich sachen versendet die wichtig sind geschweige denn interesannt (bilder usw sinds ja zur genüge :D)
 
Wenn ich das richtig in Erinnerung habe, und der vorherige winfuture Artikel bestätigt das ja auch, konnten die Nachrichten doch nur mitgelesen werden wenn derjenige sich im selben W-LAN befindet wie ich. Das geht jetzt mit der Verschlüsselung eben nicht mehr.
Und um die jetzt zu knacken muss er an meine IMEI kommen. Also mein Handy nehmen, es unter Umständen auseinandernehmen und die nummer aufschreiben. Den weg über eine App zu gehen nehm ich jetzt mal raus. Entweder ich kenn denjenigen, damit er mir die app unterjubeln kann oder aber eine so bekannte app manipulieren damit ich mir das drauf lade. Oder ich stell mich wirklich blöd an und lad mir nen Virus absichtlich drauf.
In allen Fällen aber müsste er sich immer noch im selben W-Lan befinden wie ich und dann per bruteforce seine komplette IMEI Liste durchgehen. Und das alles für nen wenig Small Talk.
Also ganz ehrlich man muss nicht aus jeder Mücke nen Elefanten machen. Aber ist ja in Mode...
 
@Leo 2005: Gerade die IMEI ist bei WLANs ein Problem, die kann man oft relativ leicht herausfinden. Fälle wo diese Lücke genutzt werden könnte: wenn Eltern ihre Kinder kontrollieren wollen, im Büro ist so etwas sicherlich auch denkbar, eine Freundin die nachschnüffelt usw.
 
@Leo 2005: Die IMEI kann man ganz einfach im Gerät abfragen ob durch das System selber oder durch eine Anwendung (wie es Whatsapp ja selber tut).
 
Wenigstens etwas, das Whatsapp die Nachrichten nun verschlüsselt überträgt. Das Eine und Andere wie die Optimierung der Sicherheit wird bestimmt wie diese Verschlüsselung später als Update nachgereicht...
 
Ist eigentlich bekannt mit was Whatsapp verschlüsselt? Ich muss mein client updaten ;)
 
Versteh ich nicht. Wenn der Benutzername die Telefonnummer und das Passwort die Umgedrehte IMEI + MD5 ist, dann wäre es ja gar nicht mehr möglich den WhatsApp Account mit einem neuen Handy (d.h. andere IMEI), aber alter Nummer weiter zu benutzen, da der Dienst gar nicht mehr in der Lage wäre sich zu verbinden (falsches Passowrt?!).
Kommentar abgeben Netiquette beachten!

Facebooks Aktienkurs in Euro

Facebooks Aktienkurs - 6 Monate
Zeitraum: 6 Monate

Der Facebook-Film im Preis-Check

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles