Sicherheitsprobleme bei Smartphone-App "WhatsApp ist kaputt, richtig kaputt"

Kostenlos Kurznachrichten verschicken? Klingt verlockend. Millionen Menschen nutzen dafür die SMS-Alternative WhatsApp, eine der beliebtesten Smartphone-Apps in Deutschland. Experten haben das Programm jetzt analysiert - und dabei einmal mehr grobe Sicherheitsmängel entdeckt.

Von Pascal Paukner

Das Internet schreibt viele Erfolgsgeschichten. Unternehmen steigen in wenigen Jahren von Garagenfirmen zu einflussreichen Web-Konzernen auf. Studenten werden zu Milliardären. Und das Leben mancher Shootingstars aus dem Silicon Valley bringt Hollywood sogar ins Kino. Doch nicht immer werden diese Erfolgsgeschichten von der Öffentlichkeit so kritisch begleitet, wie das bei den ganz Großen der Branche - Facebook, Google oder Amazon - der Fall ist.

WhatsApp ist in rasantem Tempo zur beliebten SMS-Alternative aufgestiegen. Jetzt steht das Unternehmen abermals wegen Sicherheitsmängeln unter Druck.

(Foto: WhatsApp)

WhatsApp ist ein kalifornischer Kurznachrichtendienst und vermutlich eines der derzeit am schnellsten wachsenden Internetunternehmen. Rund vier Milliarden Nachrichten werden über das Netzwerk laut eigenen Angaben jeden Tag verschickt, sechs Milliarden Nachrichten empfangen. Ein enormer Erfolg für ein Unternehmen, das im Juni 2009 an den Start gegangen ist. Und das auf einem hart umkämpften Markt gegen Konkurrenten wie Skype, Microsoft oder Facebook antritt. Von den Medien wurde WhatsApp bislang dennoch kaum wahrgenommen, geschweige denn kritisch begleitet. Das könnte sich jetzt ändern.

In den vergangenen Tagen haben mehrere Sicherheitsexperten die populäre App untersucht. Das Ergebnis ist ernüchternd. "WhatsApp-Accounts fast ungeschützt", lautet das Fazit der Fachleute von Heise Security. "WhatsApp ist kaputt, richtig kaputt", heißt es im Internetsicherheits-Blog Fileperms. Auch Blogger Sam Granger warnt: "Denkt zweimal drüber nach, bevor ihr eine private Nachricht mit WhatsApp verschickt".

Den Berichten zufolge soll es von außen problemlos möglich sein, Kontrolle über WhatsApp-Accounts zu erlangen, wenn die in ein öffentliches Wlan eingewählt sind. "Ist der Account einmal geknackt, kann man ihn nicht mehr absichern. Der Schnüffler kann ihn fortan beliebig nutzen", schreibt etwa Heise Security. Das Problem bestehe darin, dass der Client zur Anmeldung am Server ein selbstgeneriertes Passwort nutze, das bei Android aus der Seriennummer des Smartphones und bei iOS aus der MAC-Adresse der Wlan-Schnittstelle erzeugt werde. Das sind in der Regel Daten, die alles andere als geheim sind.

WhatsApp-Gründer scheuen Presse

WhatsApp selbst wollte sich zu den Vorwürfen bislang nicht äußern. Eine Anfrage von Süddeutsche.de blieb unbeantwortet. Das überrascht nicht: Öffentliche Äußerungen der beiden Gründer Jan Koum und Brian Acton sind selten. Koum sagte der Financial Times in seinem ersten Interview mit einer Zeitung überhaupt, WhatsApp habe jahrelang überhaupt keine Presseanfragen beantwortet.

Schon in der Vergangenheit war das Unternehmen mehrfach in die Kritik geraten: Im Mai 2011 war eine Sicherheitslücke bekannt geworden, die es Hackern erlaubte, fremde Nutzeraccounts zu übernehmen. Im Januar 2012 stellte ein Unbekannter eine Webseite ins Netz, über die es möglich war, den Status eines jeden WhatsApp-Accounts zu verändern - sofern die Telefonnummer des Teilnehmers bekannt war. WhatsApp ließ die Webseite vom Netz nehmen, behob aber die dahinter stehende Sicherheitslücke zunächst nicht. Über eine Software konnte weiterhin unbefugt auf Accounts von Dritten zugegriffen werden. Im Mai 2012 rief WhatsApp auch die Stiftung Warentest auf den Plan. Die Verbraucherschützer beklagten mangelnden Datenschutz.

Daten wurden jahrelang unverschlüsselt übertragen

Jahrelang war WhatsApp zudem dafür kritisiert worden, dass die Daten des Dienstes stets unverschlüsselt übertragen worden waren. Seit August hat das Unternehmen diese Praxis geändert und war dafür von Bloggern und Nutzern zunächst gelobt worden. Allerdings war zu diesem Zeitpunkt noch nicht klar, dass es fortan möglich sein würde, komplette Accounts zu übernehmen.

Bei WhatsApp scheint das Problem indes bekannt zu sein: Am Samstag hat das Unternehmen rasch ein Sicherheits-Update veröffentlicht. Behoben wurde das Problem dadurch laut Blogger Sam Granger nicht. Vielmehr droht WhatsApp weiteres Ungemach: Ein Blogger aus Italien behauptet in Erfahrung gebracht zu haben, wie WhatsApp unter Apples Betriebssystem iOS Passwörter generiert. Abschreckend auf die Nutzer scheint all das bislang nicht zu wirken: WhatsApp ist derzeit auf dem ersten Platz der Download-Charts in Apples App Store und in Googles Play Store. Eine Erfolgsgeschichte - noch.