Donnerstag, 7. Februar 2013

WhatsApp stopft Sicherheitsloch – und verlangt Abo-Gebühren


Die Schonfrist ist vorbei – wer kein iPhone hat, muss für WhatsApp künftig zahlen. Vergrößern Der Betreiber der beliebten SMS-Alternative WhatsApp hat heimlich Änderungen an seinem Dienst vorgenommen, um eine seit längerer Zeit bekannte Schwachstelle zu stopfen. Auf viele Nutzer wartete jedoch gleich die nächste böse Überraschung: Die WhatsApp-Nutzung kostet auf den meisten Smartphone-Plattformen ab sofort Geld.

Über zwei Monate lang konnte ein möglicher Angreifer WhatsApp-Accounts anderer Nutzer dauerhaft kompromittieren, wenn er leicht zugängliche Informationen – die Seriennummer (IMEI) eines Android-Smartphones oder die MAC-Adresse eines iPhones – herausbekommen hat. Sicherheitsexperten fanden heraus, dass WhatsApp daraus mit einem primitiven Algorithmus das zur Anmeldung am Server nötige Passwort generierte. Als Benutzername diente die Handynummer, die ebenfalls alles andere als geheim ist.


Guck mal, wer das spricht: Bis vor kurzem konnte man über WhatsApp kinderleicht im fremden Namen kommunizieren. Eine einfache Möglichkeit, den Schwindel zu entdecken, gab es nicht. Vergrößern Kurz nachdem dieser Mangel bekannt wurde, kursierte auch schon ein PHP-Skript im Netz, mit dessen Hilfe jedermann kinderleicht fremde Accounts übernehmen konnte, um Nachrichten im fremden Namen zu senden und zu empfangen. Auf dessen Grundlage baute ein deutscher Entwickler einen Webclient auf, über den nach Eingabe von Handynummer und IMEI beziehungsweise MAC-Adresse WhatsApp-Nachrichten mit fremden Absendernummern verschickt werden konnten.

Das ist höchst problematisch, weil sich WhatsApp zu diesem Zeitpunkt bei vielen Smartphone-Nutzern längst als SMS-Ersatz etabliert hatte. Die Statistik von Google Play hat Downloads im dreistelligen Millionenbereich und 1.816.560 Bewertungen gezählt, etliche weitere Nutzer haben den Messenger-Client in Apples App Store gekauft.

Obwohl Kommunikation das Geschäft von WhatsApp ist, zeigte sich das Unternehmen so gar nicht gesprächsbereit, als wir es mehrfach in einem Zeitraum von mehreren Wochen um eine Stellungnahme zu dem kritischen Sicherheitsproblem baten. Als Antworten bekamen wir lediglich Support-Tickets, die jedoch niemals bearbeitet wurden. Einen Ansprechpartner für Pressefragen hat WhatsApp nicht. Der Betreiber hat sich nie öffentlich zu dem Sicherheitsproblem geäußert und seine hunderte Millionen Nutzer auch nicht vor dem drohenden Account-Missbrauch gewarnt.

Die Situation war so bedrohlich, dass sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor gewarnt hat, den Messenger zu nutzen. Der Betreiber versuchte offenbar die Ausmaße einzudämmen, indem er dem Entwickler der PHP-API, durch die das Übernehmen fremden Accounts möglich war, mit rechtlichen Schritten drohte. Die Entwickler entfernten ihr Skript daraufhin von GitHub; aus dem Netz konnten sie es jedoch nur schwerlich wieder löschen.

Angesichts der bisherigen Kommunikationsstrategie des Betreibers ist es wenig verwunderlich, dass die Änderungen am WhatsApp-Protokoll nicht im Changelog der App auftauchen. Ob der Betreiber aus seinen Fehlern gelernt hat und jetzt eine sichere Authentifizierung einsetzt, darüber lässt sich nur spekulieren.


Für die Jahrespauschale in Höhe von 99 US-Cent kann man bei so manchem Netzbetreiber gerade mal drei SMS-Nachrichten verschicken. Vergrößern Für einige Android-Nutzer brachte das Update auf die aktuelle – und abgesicherte – Version der App eine unangenehme Überraschung mit sich: Das Unternehmen hat nämlich damit begonnen, Abo-Gebühren für die Nutzung des Dienstes einzutreiben. WhatsApp verlangt von Nutzern mit Android-, BlackBerry-, Windows-Phone- und Nokia- ab sofort 99 US-Cent Jahresgebühr nach dem ersten Jahr. Bei der iPhone-Version sind die Nutzungsgebühren weiterhin mit dem einmalig anfallenden Kaufpreis der App in Höhe von 89 Cent abgegolten, wie WhatsApp in seinen FAQ erklärt.

Update vom 20.11.2012, 14:40: Wie einige Leser korrekt angemerkt haben, werden Android-Nutzer von WhatsApp seit geraumer Zeit darauf hingewiesen, dass der Dienst nach einem Jahr kostenpflichtig wird. Bislang hatten die Betreiber dieser Ankündigung jedoch kaum Taten folgen lassen. Offenbar bittet WhatsApp erst seit kurzem eine nennenswerte Anzahl Nutzer zur Kasse.

Leserberichten zufolge wurden bislang noch nicht alle WhatsApp-Nutzer zur Kasse gebeten; bei einigen wird sogar eine Abo-Restlaufzeit von zehn Jahren angezeigt. Was es damit auf sich hat, ist derzeit unklar. WhatsApp hat sich bislang nicht dazu geäußert. (rei)


View the original article here

0 Kommentare:

Kommentar veröffentlichen