Der niederländische Programmierer Bas Bosschert hat gezeigt, dass die WhatsApp-Datenbank nicht sicher ist. Auf Android-Geräten können die gespeicherten Chats von einer anderen App ausgespäht werden. Selbst das Verschlüsseln der Datenbank bietet keinen wirksamen Schutz.
Backup des Chatverlaufs als Schwachstelle
Die ausgenutzte Sicherheitslücke ist die Backup-Funktion von WhatsApp. Die Messenger-App bietet Nutzern die Option, eine Sicherheitskopie aller Nachrichten anzulegen. Das Backup wird allerdings auf der SD-Karte des Gerätes abgelegt und damit in einem Bereich, auf den auch andere Anwendungen zugreifen können. Die Backup-Funktion ist normalerweise nicht aktiviert.
Auslesen der Datenbank im Hintergrund
Damit eine andere App die WhatsApp-Datenbank auslesen kann, muss sie bei der Installation die notwendige Berechtigung zum Auslesen der SD-Karte einfordern. In der Praxis klicken sich die allermeisten Nutzer aber schnell durch die Auflistung der Berechtigungen. So könnte sich eine Späh-Anwendung zum Beispiel als Spiel tarnen und die WhatsApp-Nachrichten auslesen. Während eines Ladebildschirms oder einer anderen unscheinbaren Aktion könnten dann die Daten im Hintergrund an Dritte gesendet werden.
Kein Schutz durch Verschlüsselung
Alte Versionen der Messenger-App speichern die Nachrichten komplett unverschlüsselt. Bas Bosschert zeigt aber, dass auch eine verschlüsselte WhatsApp-Datenbank leicht zu knacken ist. Der gewählte Schlüssel ist zu schwach. Mithilfe der Software Whatsapp Xtract konnte der Programmierer auch verschlüsselte Chats extrahieren.
Keine Chatverläufe speichern
Momentan ist der einzige Schutz vor der demonstrierten Methode ein Verzicht auf die Sicherungskopie der WhatsApp-Datenbank. Die Funktion findet sich in den Einstellungen und ist nicht automatisch aktiviert. Außerdem sollte man vorsichtig sein mit dubiosen Apps.
Downloads
- WhatsApp für Android herunterladen
- WhatsApp für iPhone herunterladen
- WhatsApp für Windows Phone herunterladen
- WhatsApp für Blackberry herunterladen
Passende Artikel
- WhatsApp geknackt: Nachrichten mit gefälschten Absendern sind möglich
- WhatsApp: 7 Tipps gegen Viren, Trojaner und Spam
- WhatsApp Abo-Falle: Werbebanner zocken Nutzer ab
- Deutsche Datenschützer raten WhatsApp-Nutzern zum Boykott oder Wechsel
- Datenschutz: Stiftung Warentest überprüft 5 Messenger-Apps und beurteilt WhatsApp als sehr kritisch
Quelle: Bas Bosschert
Via: Hacker News