WhatsApp : Chats über Third-Party-Apps einsehbar

Veröffentlicht am 12. März 2014 von Torsten Dünnwald in Testbericht
whatsapp-facebook

Vor wenigen Tagen wurde das lange erwartete WhatsApp-Update mit den Datenschutz-Einstellungen endlich im PlayStore ausgerollt. So wurde die Gleichberechtigung zwischen iOS- und Android-Usern wiederhergestellt, da das Zuletzt online nun bei beiden Systemen verborgen werden kann. Neben der Möglichkeit, aus der eigenen Tasche das WhatsApp-Abo für Freunde zu verlängern ist aber auch eine weitere Sicherheitslücke aufgetaucht, die es Entwicklern von Drittanbieterprogrammen ermöglicht, auf die Chatverläufe auf dem Smartphone zuzugreifen.

Das Leck wurde von Bas Bosschert entdeckt, der in seinem Blog auch Demoquellcode bereitstellt. Bosschert sieht die Art des Speicherns der Chats auf dem Telefon des Nutzers als Gefahr an, da das tägliche Backup auf der SD-Karte abgelegt wird. Durch diese Umstände benötigt die “Diebesapp” nur die Berechtigung zum Zugriff auf die SD-Karte und muss eine Verbindung zum Internet herstellen dürfen, damit die vertraulichen Verläufe vom Gerät des Opfers auf den Servern der Angreifer landen.

Eine solche Funktion kann in eine harmlos aussehende und im PlayStore regulär erhältliche Applikation integriert werden und da ein Großteil der Benutzer sowieso die Frage nach dem Akzeptieren der eingeräumten Berechtigungen bestätigen, besteht hier eine besonders hohe Gefahr, dass vertrauliche und vielleicht auch aus anderen Gründen nicht für die Öffentlichkeit bestimmte Daten im Internet landen.

Allerdings geht die Lücke entgegen vieler Vermutungen nicht auf die geplante Übernahme und damit auf Facebook zurück, sondern die Umstände bestehen schon seit vielen Versionen und sind nur bis jetzt noch nicht als kritisch eingestuft worden.

Die Faktenlage zeigt wieder einmal, dass die bedingte Kontrolle der Berechtigungen für viele User gar keinen Zugewinn oder Schutz darstellen, da sie nur akzeptiert, nicht aber kontrolliert werden können. Google blockt zwar Apps, die ohne Kenntnisnahme oder Bestätigung des Benutzers auf Daten zugreift, trotzdem schaffen es immer wieder Programme, den Schutz zu Umgehen. Natürlich ist auch auf der Seite von WhatsApp etwas zutun, z.B. indem man Backups wie bei Threema verschlüsselt oder sie anders abspeichert.

Quellen:  MACERKOPF [Bild] | Bas Bosschert


Über den Autor

Torsten Dünnwald

Inhaber. Administrator. Blogger. Android-Freak. Experte & Mädchen für alles.