Werbung

Artikel

WhatsApp-Chats können von anderen Android-Apps ausgelesen werden

WhatsApp-Chats können von anderen Android-Apps ausgelesen werden
Jakob Straub

Jakob Straub

  • Aktualisiert:

Der niederländische Programmierer Bas Bosschert hat gezeigt, dass die WhatsApp-Datenbank nicht sicher ist. Auf Android-Geräten können die gespeicherten Chats von einer anderen App ausgespäht werden. Selbst das Verschlüsseln der Datenbank bietet keinen wirksamen Schutz.

Backup des Chatverlaufs als Schwachstelle

Die ausgenutzte Sicherheitslücke ist die Backup-Funktion von WhatsApp. Die Messenger-App bietet Nutzern die Option, eine Sicherheitskopie aller Nachrichten anzulegen. Das Backup wird allerdings auf der SD-Karte des Gerätes abgelegt und damit in einem Bereich, auf den auch andere Anwendungen zugreifen können. Die Backup-Funktion ist normalerweise nicht aktiviert.

Auslesen der Datenbank im Hintergrund

Damit eine andere App die WhatsApp-Datenbank auslesen kann, muss sie bei der Installation die notwendige Berechtigung zum Auslesen der SD-Karte einfordern. In der Praxis klicken sich die allermeisten Nutzer aber schnell durch die Auflistung der Berechtigungen. So könnte sich eine Späh-Anwendung zum Beispiel als Spiel tarnen und die WhatsApp-Nachrichten auslesen. Während eines Ladebildschirms oder einer anderen unscheinbaren Aktion könnten dann die Daten im Hintergrund an Dritte gesendet werden.

Kein Schutz durch Verschlüsselung

Alte Versionen der Messenger-App speichern die Nachrichten komplett unverschlüsselt. Bas Bosschert zeigt aber, dass auch eine verschlüsselte WhatsApp-Datenbank leicht zu knacken ist. Der gewählte Schlüssel ist zu schwach. Mithilfe der Software Whatsapp Xtract konnte der Programmierer auch verschlüsselte Chats extrahieren.

Keine Chatverläufe speichern

Momentan ist der einzige Schutz vor der demonstrierten Methode ein Verzicht auf die Sicherungskopie der WhatsApp-Datenbank. Die Funktion findet sich in den Einstellungen und ist nicht automatisch aktiviert. Außerdem sollte man vorsichtig sein mit dubiosen Apps.

Downloads

Passende Artikel

Quelle: Bas Bosschert

Via: Hacker News

Jakob Straub

Jakob Straub

Das Neueste von Jakob Straub

Editorialrichtlinien