Das Portal iRights.info geht in einem aktuellen Bericht der Frage nach, ob die wichtigsten Sicherheitslücken im verbreiteten Instant Messenger WhatsApp inzwischen behoben sind. Nachrichten und andere Daten werden nun tatsächlich verschlüsselt übertragen, das Mitlesen von Gesprächen durch Dritte, die im gleichen WLAN unterwegs sind, ist damit nicht mehr ohne weiteres möglich. Außerdem muss der Nutzer bei der ersten Registrierung einen Bestätigungscode eingeben, den er per SMS bekommt. Das macht es für Hacker schwerer, die Identität anderer Nutzer zu kapern.
Allerdings weisen die Apps immer noch erhebliche Sicherheitslücken auf. Ein Einfallstor ist beispielsweise der Zugriff der App auf das interne Telefonbuch, der sich auf Android-Geräten nicht abstellen lässt. Angreifer können über eine offenbar noch nicht geschlossene Sicherheitslücke auf fremde Konten bei den Bezahldiensten PayPal und Google Wallet zugreifen. Hinzu kommen Probleme mit dem Datenschutz: So werde das gesamte Adressbuch des Nutzers zum Beispiel noch immer in regelmäßigen Abständen auf die Unternehmensserver in den USA übertragen. Laut den Whatsapp-AGB geht es dabei aber nur um Nutzernamen und Telefonnummern, nicht die zugehörigen Namen oder andere Daten.
Allerdings weisen die Apps immer noch erhebliche Sicherheitslücken auf. Ein Einfallstor ist beispielsweise der Zugriff der App auf das interne Telefonbuch, der sich auf Android-Geräten nicht abstellen lässt. Angreifer können über eine offenbar noch nicht geschlossene Sicherheitslücke auf fremde Konten bei den Bezahldiensten PayPal und Google Wallet zugreifen. Hinzu kommen Probleme mit dem Datenschutz: So werde das gesamte Adressbuch des Nutzers zum Beispiel noch immer in regelmäßigen Abständen auf die Unternehmensserver in den USA übertragen. Laut den Whatsapp-AGB geht es dabei aber nur um Nutzernamen und Telefonnummern, nicht die zugehörigen Namen oder andere Daten.
Das Speichern der Nachrichten und der nichtöffentlichen Schlüssel auf dem Server von Whistle.im sei ein Verstoß gegen grundlegende Sicherheitsregeln und ermögliche es, die Nachrichten nachträglich zu entschlüsseln, wenn das Kennwort bekannt sei. Der Autor kommt zu dem Schluss, dass das als WhatsApp-Alternative gehandelte Whistle.im seinem Vorbild in nichts nachstehe – zumindest in puncto Sicherheitsmängeln. Zudem hätten die Entwickler "grundlegende Konzepte aktueller Verschlüsselungsverfahren nicht verstanden"
http://www.heise.de
