Werbung

Artikel

WhatsApp geknackt: Nachrichten mit gefälschten Absendern sind möglich

WhatsApp geknackt: Nachrichten mit gefälschten Absendern sind möglich
Jakob Straub

Jakob Straub

  • Aktualisiert:

Zwei spanische Sicherheitsexperten haben es geschafft, WhatsApp-Nachrichten mit gefälschten Absendern zu verschicken. Die manipulierten Nachrichten hinterlassen keine Spuren auf den Servern von WhatsApp und sind von den Empfängern nicht von echten Chats zu unterscheiden.

Für die Verschlüsselung von Nachrichten bei der Übertragung vom Sender zu WhatsApp und dann zum Empfänger kommen vier Schlüssel zum Einsatz. Zwei davon dienen der Überprüfung der Echtheit der übertragenen Nachrichten.

Genau hier setzten die beiden Programmierer Pablo San Emeterio und Jaime Sánchez an: Durch Neuberechnung der Validierungsschlüssel konnten sie die WhatsApp-Server überlisten und die Absenderdaten von verschickten Nachrichten nach Belieben verändern. Auf der Sicherheitskonferenz Rooted CON demonstrierten die beiden Experten das Verschicken von WhatsApp-Nachrichten mit gefälschten Absendern. Dabei hinterließen sie keine Spuren, weder auf dem Gerät noch auf den WhatsApp-Servern.

Die Nachricht wird auf einem Gerät geschrieben und an den gewünschten Empfänger verschickt. Vor der Verarbeitung durch die WhatsApp-Server wird die Nachricht aber entsprechend präpariert und mit anderen Absender-Informationen versehen. Für WhatsApp und den Empfänger ist die Manipulation nicht nachvollziehbar.

Die demonstrierte Methode erfordert hohes technisches Wissen und kann von normalen Anwendern nicht nachvollzogen werden. Es ist also unwahrscheinlich, dass auf Grundlage des gezeigten Verfahrens gefälschte Nachrichten auf WhatsApp kursieren werden. In einigen Ländern wie Holland und Dubai wurden aber schon WhatsApp-Nachrichten als Beweismittel vor Gericht zugelassen. Durch den Hack ist fraglich, ob das auch in Zukunft sinnvoll ist.

Bereits vor einigen Monaten hatten es die beiden spanischen Software-Spezialisten geschafft, die Sicherheit von WhatsApp zu knacken. Der Messenger-Dienst reagierte und passte seine Sicherheitsvorkehrungen an.

Update (11.03.2014): WhatsApp-Chef Jan Koum hat die Demonstration der beiden spanischen Sicherheitsexperten in einer Stellungnahme gegenüber Softonic kommentiert. In einer E-Mail an uns schreibt Koum:

“Im Gegensatz zu Ihrer Berichterstattung glauben wir, dass die spanischen Forscher eigentlich die Möglichkeit gezeigt haben, den Empfang einer Nachricht eines anderen Nutzers auf ihrem eigenen Mobiltelefon vorzutäuschen. Für uns sieht es so aus, als ob sie ihr eigenen Telefon gehackt hätten und (unbeeinflusste) Nachrichten nach dem Abrufen von den WhatsApp-Servern verändert haben. Uns liegen keine Beweise vor, dass sie eine Möglichkeit aufgezeigt haben (oder behauptet haben zu demonstrieren), Nachrichten mit einem gefälschten Absender an einen anderen WhatsApp-Nutzer zu schicken.”

Wir haben die beiden Programmierer Pablo San Emeterio und Jaime Sánchez um Stellungnahme gebeten. Der Bericht über die Demonstration auf dem Sicherheitskongress RootedCON beschreibt an zwei Stellen die Modifikation von Nachrichten vor dem Passieren der WhatsApp-Server und weist darauf hin, dass die Manipulation auf dem Server nicht nachvollziehbar sei.

Update (12.03.2014): Sirag Nabih von Softonic hat mit den Programmierern Pablo San Emeterio und Jaime Sánchez gesprochen. Die beiden haben ihre Vorgehensweise genauer erläutert. WhatsApp-Chef Jan Koum hat recht: Die beiden spanischen Sicherheitsexperten haben nicht die WhatsApp-Server gehackt. Das haben sie aber auch nicht behauptet. Sie haben demonstriert, dass sie eine Nachricht auf dem Weg zum Empfänger abfangen und sowohl Inhalt als auch Absender verändern können.

Koum hat ebenfalls recht mit der Aussage, dass sie dazu ihre eigenen Smartphones verwendet haben. Die Methode erfordert den Verifizierungscode, den WhatsApp bei der Registrierung per SMS verschickt. Aus diesem generiert WhatsApp vier Sicherheitsschlüssel.

Pablo San Emeterio und Jaime Sánchez sind in der Lage, diese Schlüssel aus dem Verifizierungscode zu berechnen. Damit können sie eine Nachricht abfangen, verändern und mit den richtigen Verifizierungsschlüsseln versehen, damit das Smartphone des Empfängers die Nachricht als echt akzeptiert.

Die Methode zeigt eine Sicherheitslücke auf, die sich allerdings nur mit Fachwissen und unter den beschriebenen Gegebenheiten ausnutzen lässt.

Passende Artikel

Quelle: hojaderouter

Jakob Straub

Jakob Straub

Das Neueste von Jakob Straub

Editorialrichtlinien