Schwere Sicherheitslücke in WhatsApp ermöglicht Zugriff über Webclient

Mittlerweile häufen sich die Meldungen über Sicherheitslücken im Wohl beliebtesten Mobilen Nachrichtendienst der Welt. WhatsApp ist vollgesäht mit Sicherheitslücken, das ist mittlerweile klar, aber eine erst kürzlich offengelegte Sicherheitslücke macht deutlich wie hoch das Spionage-Potenzial wirklich ist. Dem Programmierer Sascha Gehlich ist es gelungen einen Webclient auf Basis einiger Sicherheitslücken zu programmieren. 

Schon seit längerer Zeit kursieren im Internet zahlreiche Skripte, welche eine es ermöglichen unter einem falschen Namen Nachrichten zu verschicken und zu empfangen. Für diese besagten Skripte brauchte man jedoch weitreichende Programmierkenntnisse, die natürlich nicht jeder hat. Mit dem Webclient von Sascha Gehlich ist jedoch auch diese Hürde überwunden, denn alles was zum verschicken von Nachrichten unter falschen Namen benötigt wird ist die Telefonnummer sowie die IMEI bzw. MAC-Adresse des Geräts. Mit diesen Daten authentifiziert sich der Webclient bei den Server von WhatsApp. Ein Passwort oder sonstige Legitimationen werden seitens der WhatsApp Server nicht verlangt.

WhatsApp speichert Bilder & Co. auf einem Server

Der Webclient von Gehlich macht jedoch nicht nur das verschicken und abfangen von Nachrichten möglich, sondern auch Bilder können direkt über den Browser aufgerufen werden. Da WhatsApp Bilder, Videos & Co. nicht direkt an den Gesprächspartner sendet sondern vorher auf einem Server zwischenspeichert ist ein Aufruf über einen Direktlink problemlos möglich. Dieser sieht dann in etwa so aus: https://mms604.whatsapp.net/d2/21/12/6/3/xxx.jpg

Bereits in der vergangenheit machte eine ähnliche Applikation die runde, welche unter Android das Abfangen von Nachrichten im Netzwerk ermöglichte. Diese Applikation funktioniert noch immer, deswegen ist die Nutzung von WhatsApp in öffentlichen WLAN-Netzwerken mit Vorsicht zu genießen.

Der WhatsApp-Webclient
In einem Gespräch mit dem IT-Portal gulli.com bemerkt Sascha Gehlich wie schwerwiegend die Sicherheitslücken sind. „Die Lücken sind erschreckend. Du glaubst nicht, wie oft ich den Kopf geschüttelt habe, als ich den Webclient geschrieben habe.„, so Gehlich. Das Opfer bekommt im übrigen nicht einmal mit, dass es abgehört wird: „WhatsApp erwartet, dass man nach dem Empfangen einer Nachricht eine Empfangsbestätigung zurückschickt. Schickt man diese mit, so erscheint die Nachricht nach dem Schließen der Verbindung nicht auf dem Handy. Schickt man diese nicht mit, so kommen die Nachrichten trotzdem beim Handy an.“ erklärt Gehlich im Gespräch mit gulli.

Lesen Sie den vorherigen Eintrag:
Spider-Man: Homecoming kommt in den USA als Arcade-Spiel heraus

Look Out! Here comes the Spider-Man 🕷️ I've got 4 more photos from the set to post so check tomorrow 😘 Photo by: @nicolayardy #SpiderMan #SpiderManCosplay #Marvel Ein Beitrag geteilt...

Schließen