Bereits Anfang dieser Woche wurde berichtet, dass die Passworterstellung bei WhatsApp nicht sicher ist. Jetzt wurde nachgewiesen, wie leicht sich ein Account wirklich kapern lässt.

-whatsapp_logo.png

Die Passwörter für Android- und iOS-Geräte werden bei WhatsApp auf ähnliche Weise generiert. Bei Android-Geräten wird dafür die IMEI-, also Seriennummer ausgelesen, umgedreht und daraus ein MD5-Hash erzeugt. Bei iOS-Geräten wird statt der IMEI-Nummer die MAC-Adresse der WLAN-Schnittstelle verwendet. Zusammen mit der Rufnummer bilden diese dann in WLAN-Netzwerken die Zugangsberechtigung. Die IMEI-Nummer und die Rufnummer von Android-Geräten können bei direktem Zugriff auf das Gerät oder über verteilte Apps ausgelesen werden. Die MAC-Adresse von iOS-Geräten kann sogar von jedermann in Reichweite eines öffentlichen WLANs sehen, wie sie in Hotspots verwendet werden, und darüber kann sogar die Rufnummer anhand der von WhatsApp übermittelten Datenpakete ermittelt werden.

Wie einfach sich mit diesen Angaben und mit Hilfe von frei zugänglichen Tools WhatsApp-Accounts übernehmen lassen, hat jetzt heise.de nachgewiesen. Dabei konnten SMS unter fremder Rufnummer gesendet und sogar empfangen werden, solange das Skript lief konnten diese auch nicht an den eigentlichen Account-Besitzer empfangen werden. Heise weist zudem darauf hin, dass bei einem übernommenem Account keine Passwortänderung möglich ist, um den Datendieb zukünftig auszusperren und empfiehlt daher, WhatsApp derzeit nur mit Vorsicht zu nutzen.

Quelle: heise.de
Bildquelle: Hersteller