Es ist ja nicht so, als würde WhatsApp zum ersten Mal in den Medien als unsicher eingestuft werden – immerhin hat sogar die Stiftung Warentest dieses Urteil abgegeben. Eine neue Sicherheitslücke, die durchaus bedenklich ist, betont die Unsicherheit des Messengers einmal mehr.
Bereits vor der Übernahme durch Facebook war der Messenger nicht gerade für seine Sicherheit und Performance bekannt. Viele Nutzer sahen sich durch den 19 Milliarden US-Dollar schweren Deal gezwungen von WhatsApp abzuspringen, da Facebook sonst die Daten im Messenger sammeln kann. Einige sahen aber einen Vorteil: Facebook wird seine eigene Entwicklungsabteilung an den Messenger setzen und die größten Sicherheitslücken ausbessern. Bislang ist aber noch nicht viel passiert, denn sonst hätte schon jemand gemerkt, dass es für jedermann möglich ist die Nachrichten des Messengers mitzulesen.
Diese riesengroße Sicherheitslücke kommt daher, dass WhatsApp die gespeicherten Nachrichten im öffentlich zugänglichen WhatsApp-Verzeichnis von Android ablegt. Andere Apps oder Messenger haben dafür einen exklusiven Speicherort, der nur für diese eine bestimmte App zugänglich ist. Im WhatsApp-Stammverzeichnis befinden sich folglich diese Dateien:
/WhatsApp/Databases/msgstore.db
/WhatsApp/Databases/wa.db
/WhatsApp/Databases/msgstore.db.crypt
Die ersten beiden Datenbanken stammen noch aus früheren Versionen und sind somit nicht zu beachten. In der letzten allerdings ist der Chatlog gespeichert. Natürlich haben sich die Entwickler dabei etwas gedacht und die Datenbank verschlüsselt.
Jetzt gibt es im Prinzip zwei Möglichkeiten, wie die Daten verschlüsselt sein können. Entweder durch einen Hardcode, sprich die Verschlüsselung ist bei jedem Gerät gleich, oder die Datenbank wird Gerätespezifisch codiert. Die zweitere Variante würde natürlich einen größeren Schutz bieten, allerdings haben sich die Entwickler von WhatsApp leider für die erste Methode entschieden. Zu unserem Leidwesen wurde auch schon der AES-Key im Internet publiziert und ist somit für jedermann zugänglich.
Der IT-Experte Bas Bosschert aus den Niederlanden hat in einem Blog-Post bereits ein fertiges Script veröffentlicht, mit dem die Daten einfach abgegriffen und auf einen Server hochgeladen werden können. Dort können die Daten anschließend gesichtet und ausgewertet werden.
Was sich jetzt harmlos anhört, kann in der Praxis durchaus problematisch sein. Es ist erschreckend einfach eine App zu veröffentlichen, die im Hintergrund die Nachrichten von WhatsApp abgreift und ins Internet hochlädt. Sollte man über den Messenger zum Beispiel Bankdaten oder Passwörter übermittelt haben – hoffentlich kommt niemand von euch auf diese Idee – dann könnte das zu einer echten Bedrohung werden.
Wer sich aufgrund dieser Sicherheitslücke nach einem anderen Messenger umsehen will, der sollte sich unseren Alternativen-Artikel ansehen.
Quelle: Bas Bosschert