Produkte
08.02.2012

Schwere Sicherheitslücken in Messenger-Apps

Messenger-Apps wie WhatsApp können ein großes Sicherheitsrisiko für deren Benutzer darstellen. Forschern des SBA Research haben in einem Vergleichstest neun Apps untersucht und konnten nicht nur Accounts übernehmen, sondern auch SMS auf Kosten von WhatsApp verschicken.

Das Wiener Institut SBA Research hat in einem Vergleichstest massive Sicherheitslücken in aktuellen Messenger-Apps wie WhatsApp entdeckt. WhatsApp ist derzeit allein in Österreich auf über 180.000 Geräten installiert, wies aber im Test erhebliche Mängel auf. So konnten die Forscher nicht nur den Account übernehmen, sondern auch kostenlose SMS vom Server von WhatsApp verschicken. Dasselbe war auch mit den anderen Messenger-Apps möglich. Getestet wurden neben WhatsApp auch die Apps Viber, eBuddy XMS, Tango, Voypi, Forfone, HeyTell, EasyTalk und WowTalk. Bei allen Accounts gab es massive Sicherheitslücken, nur bei Viber, eBuddy XMS und Forfone war das Übernehmen des Accounts nicht möglich.

SMS auf Kosten von WhatsApp
Die Authentifizierungsmechanismen der Apps stellten sich im Test als sehr einfach zu umgehen dar. WhatsApp verschlüsselt zwar die Verbindung zur Übertragung der Telefonnummer, doch der Server fordert vom Gerät einen Code an, den er anschließend per SMS bestätigt. Dieser Code wird am Handy erzeugt und kann trotz SSL-Verschlüsselung abgefangen werden - damit könnte ein Angreifer jede beliebige Handynummer imitieren. Abgesehen davon konnte der Authentifizierungsmechanismus missbraucht werden und die Bestätigungs-SMS mit dem Code so modifiziert werden, dass sie jeden beliebigen Inhalt an eine bestimmte Nummer sendet. So könnte man weltweit kostenlose SMS verschicken.

Bedenklich ist auch, dass mit dieser Methode ganze Rufnummernbereiche nach WhatsApp-Nutzern durchsucht werden können - so konnten die Forscher vom SBA Research Institut probeweise eine Datenbank von insgesamt 21.905 Rufnummern aufbauen und wurden nicht vom Server von WhatsApp daran gehindert. Eine geringere Sicherheitslücke, aber dennoch bedenklich einfach umzusetzen: mit Hilfe eines simplen HTTPS-Anfrage und der Telefonnummer des Opfers kann die Statusnachricht nach Belieben verändert werden.

Nur WhatsApp bessert aus
Die Sicherheitslücken wurden bereits vor einigen Monaten entdeckt und gemäß der Richtlinien des Instituts den Herstellern mit einiger Vorlaufzeit gemeldet. Bislang hat von den neun getesteten Anbietern nur WhatsApp reagiert und die Sicherheitslücken beseitigt. Das Durchsuchen von Rufnummernbereichen ist allerdings auch hier nach wie vor möglich. “Nutzern ist nicht klar, dass diese Systeme ein viel niedrigeres Sicherheitsniveau haben als Dienste, die direkt vom Netzbetreiber zur Verfügung gestellt werden – wie etwa SMS. Sie geben durch die Nutzung dieser neuen Kurznachrichtendienste sensitive Informationen unbewusst der Öffentlichkeit preis.", sagt Peter Kieseberg vom SBA Research Institut. Die Ergebnisse der Sicherheitsanalyse werden Anfang Februar auf der renommierten IT-Sicherheitskonferenz NDSS in San Diego, USA präsentiert.

Mehr zum Thema

  • WhatsApp: Wegen Sicherheitslücke entfernt?
  • WhatsApp: Eine Milliarde Nachrichten täglich
  • " Facebook Messenger"-Test: Doch kein SMS-Killer
  • SMS: Der Anfang vom Ende einer Ära