WhatsApp überträgt Nachrichten unverschlüsselt – Android-App ermöglicht Mitlesen fremder Chats
Die Messenger-App WhatsApp erfreut sich bekannterweise großer Beliebtheit. Ähnlich wie bei iMessage werden hier Kurznachrichten, Bilder und mehr über eine Internetverbindung zwischen den Geräten übertragen und man spart auf diese Weise ordentlich SMS-Gebühren. WhatsApp hat zudem den Vorteil, dass der Dienst nicht auf iOS-Geräte bergenzt ist, sondern auch den Kontakt mit Android-, Nokia- oder BlackBerry-Nutzern ermöglicht.
Riskant wird dies, wenn man seine Nachrichten nicht direkt über das Mobilfunknetz, sondern von einem öffentlichen WLAN-Hotspot aus versendet. WhatsApp übermittelt sämtliche Nachrichten unverschlüsselt und gibt anderen, im selben Netz angemeldeten Nutzern die Möglichkeit, die versendeten Texte mitzulesen. Voraussetzung dafür sind entsprechende Hilfsmittel, von denen sich eines sogar direkt in Googles Android-Markt laden ließ. Mittlerweile wurde der „WhatsApp Sniffer“ (s. Screenshot) zwar entfernt, wer das Programm zuvor geladen hat, kann es allerdings wohl problemlos weiter nutzen.
Was bedeutet das für euch? Wer nicht auf Glück spielen will, sollte WhatsApp nicht mehr nutzen, solange er in öffentlichen WLANs eingeloggt ist. Damit verliert man allerdings einige große Vorteile der Anwendung, zum Beispiel die Möglichkeit, ohne Zusatzkosten mal eben vom Hotel- oder Café-WLAN im Ausland mit den Lieben zu Hause zu kommunizieren.
Publik gemacht wurde das Problem vom Sicherheitsunternehmen G Data, aus deren Pressemitteilung stammt auch der Screenshot oben.
Geil :(
Na und, solange ich keine Bankingdaten über WhatsApp sende (warum sollte man das auch tun), und wen interessiert meine privaten Nachrichten (schönes Wetter, Essen gut…).
Alles Panikmache!!!
Keines Wegs! Es gibt auch Dinge, so wie im screenshot zu sehen (die „Krankheit“) die andere Menschen interessieren könnten. Solltest du zum Beispiel deinem
Kumpel sagen dass du vom 15.-22. Mai nach Mallorca fährst und jemand, der weiß wo du wohnst bzw. es durch deine Chats herausgefunden hat, dann deine leer stehende Wohnung aufsucht, bist du ganz schnell der Mops…
Von wegen Panikmache!
die warscheinlichkeit dass dies einer abfängt, ist wohl ne millionen
mal kleiner als die wahrscheinlichkeit dass dies einer bei einem gesprächt mitkriegt…
@Krustenkäse
Dafür habe ich eine Hausratversicherung.
Schön, dass du so sorglos bist – das wird gewisse Kreise sehr freuen ;-)
Da muss man wirklich paranoid sein wenn man Angst hat dass Einbrecher die Urlaubszeiten mitbekommen könnten.
Spätestens auf der Facebook Pinwand kann man die Info dann sowieso lesen, und wahrscheinlich auch jedes Foto ;o) Wetten?
Dummkopf!
Man kann auch ein Schritt weiter gehen wie zb stalking! Wer einige verfolgt kann so erfahren wer noch wo hingeht oder zur bestimmten zeit im Urlaub ist und das Haus ist ungenutzt. Heutzutage muss man alles erwarten. Ich hoffe die fixen das bald mit sowas hab ich große Probleme!!!
@Krustenkäse
Axo, man kann natürlich auch durchs mitlesen anderer Nachrichten den Wohnort ermitteln :) Das wurde nichtmal Sherlock Holmes können oder wie sollte das funktionieren ?
Man muss im gleichen WLAN sein.. Wenn der Wohnort relevant ist, müsste gleich die ganze Adresse aufgeschnappt werden, sonst bringt das ja wohl nicht viel..
Nichtsdestotrotz sehr beunruhigend die ganze Sache..
PS: Wann kommt der Sniffer aufs iPhone? :D
Guten Morgen iFun-Team. Ist doch ein alter Hut und wurde auch schon im TV „gezeigt“. Funtioniert nicht nur mit WhstsApp. Klappt auch hervorragend mit Facebook oder e-mail. Außerdem: Was soll’s? Darf gerne jeder mitlesen, was ich da so schreibe. Und wer wichtige Daten wie Bankpin oder Ähnliches über WahstsApp oder auch e-mail übermittelt ist selbst Schuld. Man sollte es eben eher wie eine Postkarte behandeln. Da kann ja rein theoretisch der Breifträger auch mitlesen.
Oh Gott, der Briefträger liest meine Postkarten?
Einbrecher?? Haha.. Da ist Facebook einfacher xD
Mir doch pupse ob einer was mitliest ist eh nur Geplänkel..
Ein hoch auf iMessage
Hat/nutzt nur nicht jeder.
Jip
Das meine ich auch ich habe WhatsApp auch nur noch drauf ,.. Ohne Benutzung :)
Naja, mit Whatsapp kann man eine Location in der umgebung auswählen (z.B. ein Restaurant) und diese dann mit genauer Anschrift etc. schicken. Das geht bei iMessage leider nicht.
Karten-App aufmachen, Stecknadel setzen, Ort per iMessage versenden: klappt.
Ansonsten bitte Deinerseits näher erläutern. :)
Welche Überraschung! Also ehrlich, mir war das klar. Aufgrund dessen wird nicht Wichtiges über WA ausgetauscht. Ganz einfach
Damit is die app aber sinnlos. Ich will doch nicht für jeden Verwendungszweck ein anderes Programm nutzen… Da gibt’s nur eine Lösung. Lange auf der app bleiben und das kleine X drücken…
Dummschwätzer ^^
glaubst du ernsthaft deswegen wird die App gelöscht?
Musst ja nicht gerade Kreditkartendaten austauschen.
@loverz: bei intelligenten Leuten schon!
so ein quatsch, selten so viel Blödsinn gelesen … Wie hoch icht den bitte die Wahrscheinlichkeit, dass einer mitliest ? Ich glaube eher gewin ich 5x hintereinander im Lotto …
Das gleiche habe ich schon vor Wochen nachgestellt.. Einfach ARP Poisining (=Mitm) gegen das iPhone und dann schön auf Port 5552(?) sniffen. Geht wunderbar.
Da ich aber nur in gesicherten WLANs bin (VPN lässt grüßen), ist das halb so wild. Und in 3G Netzen besteht das Problem ebenfalls nicht. Zur Not gibt es immer noch iMessage.
So sieht’s aus !
*like*
Naja habe noch nie etwas von der App gehalten. Alleine schon die Tatsache das ohne meine Einwilligung meine Daten an den Hersteller gesendet werden halte ich fur sehr fragwürdig. Mit Datenschutz hat das nicht mehr viel zu tun. Im übrigen gibt’s auch andere möglichkeiten wie icq oder ähnliches um kostenlos zu schreiben.
klarer fall von meckern und keine ahnung haben, oder? WhatsApp fragt ob das Telefonbuch übertragen werden darf…
Ja schon. Machst du’s nicht funktionierts nicht wirklich. Gelaber schon wieder…
Außerdem gehts drumm wenn andere meine Nummer haben und senden ihr telefonbuch. Das kann ich erstens nicht nachvollziehen und dagegen schützen auch nicht. Mich hat noch keiner gefragt ob er sein Telefonbuch hoch Laden darf. Also Ball flach halten.
Und wenn man es ablehnt, funktioniert die App. Nicht, da man keine Kontakte hat…
Demzufolge auch keine Möglichkeit einen Chat zu starten!
Klarer Fall von Schlaumeier
und welche nachteile hattest du bisher dass deine Telefonnummer warscheins bei WhatsApp schon liegt? von google & co. ganz zu schweigen…
Es geht schon damit los dass alles weiter verkauft und für Werbung genutzt werden kann.
Ich habe in meinen 3,5 Jahren SmartPhone Nutzung noch keine unerwünschte Werbe SMS oder einen Werbeanruf erhalten. Und dabei steht meine Mobilnummer zusätzlich noch ganz öffentlich zugänglich auf meiner Webseite, damit Kunden mich auch unterwegs erreichen können. Alles eine Frage der Paranoia.
Das hat doch nichts mit Paramoia zu tun. Es geht um informationelle Selbstbestimmung. Das bedeutet, ich entscheide wer meine Telefonnummer haben und/oder verbreiten darf.
Was mich extrem stört, es ist gar nicht notwendig, die Telefonnummer zu übertragen. WA bräuchte lediglich HashWerte der Telefonnummern zu bilden. Die Funktionalität bliebe vollständig erhalten ohne das WA Zugriff auf Daten Leuten hätte, die dazu keine Freigabe erteilt haben.
dennoch passiert es nicht wie du geschrieben hast „ungefragt“
Das is ne sinnlose Spitzfindigkeit von dir. Das weißt du selbst auch glaub ich
Wer wird den gezwungen ne App zu nutzen ?
Ist ja witzig, dass in diesem Zusammenhang ICQ als Alternative genannt wird. Dort stimmt man beim anmelden zu, dass man sämtliche Urheber- und Eigentumsrechte der via ICQ geposteten Inhalte abgibt.
Eben und icq ist schon eeeewig dafür bekannt, das man mitlesen kann xD
Theoretisch sollte man in öffentlichen WLA-Netzen immer eine VPN verbindung für sicheren Datenverkehr nutzen.
Das Problem besteht schließlich nicht nur bei whatsapp, sondern bei manchen Internetseiten können auch Zugangsdaten abgefangen werden.
…und genau deswegen ist WhatsApp auch immer auf Platz 1 der Top 25… ;-)
War, ist mir schon länger bekannt. Verbale Intimitäten (WApp Sex:) würde ich generell über solche Dienste auch nicht austauschen WApp überträgt bei Zugriff auf Kontakte ausschl. die Fon-Nr.s. Das wurde bereits seitens der c’t protokolliert. Ansonsten, 100% Sicherheit gibt’s nur in Gedanken. Denkste!
Ja und? Dann nutze ich Whatsapp halt übers Mobilnetz….
Halte ich nicht für so ein Drama.
Im Grunde genommen ist Whatsapp nichts weiter als die gute alte Postkarte.
Für vertrauliche Dinge einfach (verschlüsselte) Email verwenden.
Schönes Wochenende!
Man sollte generell nichts über ein offenes WLAN senden, ohne seinen Traffic vorher über VPN oder SSH zu tunneln, den selbst SSL verschlüsselter Traffic lässt sich aufhebeln.
Dann biste 3 Stunden mit Einstellen etc beschäftigt :) Ich nutze das freie Netzwerk einfach nicht und gut ist.. Wer weis was mc fress alles abfängt ^^
dito !
man könnt echt meinen hier sind nur ultra-wichtige Menschen, die hoch sensible Daten hin und her schreiben.
genial ^^
Danke für diesen Kommentar.
Ich benutze zwar Whatsapp nicht, aber so eine Lücke kann jedes Programm haben. Ist vielleicht auch gewollt um Kriminellen nicht ein Tool an die Hand zu geben.
Mir kommt es so vor als ob nur Windows Phone sicher wäre
da wird WhatsApp wohl keine verschlüsselung einsetzen…
Mich nervt die App eh. SMS Flats kosten sowieso kaum was und sind wesentlich komfortabler da nativ implementierr. Hoffe das spätestens mit RCSe der WhatsApp-Wahn endet!
mir bringt ne SMS-Flat nur nichts wenn der andere keine hat.
und was soll bei RCS bitte besser sein? mit dem nachteil dass die leute erstmal gewillt sind umzusteigen.
siehe G+, funktioniert auch nicht ;)
Schon mal darüber nachgedacht, dass die immer wieder als Argument hervor geholte Aussage „Haben doch eh alle ne SMS Flat.“ eine Nullnummer ist, wenn man mal über Ländergrenzen hinaus denkt?
@Bg-On
Klarer Fall von Wichtigtuerei von Dir! Wenn Du WhatsApp wirklich bzw. schön länger kennen würdest, dann wüsstest Du, dass diese Abfrage erst seit einem der letzten Updates eingfügt wurde. Dies jedoch auch erst als die Medien und sogar offizielle Stellen auf das Datenschutzverhalten von WhatsApp aufmerksam geworden sind.
Aber was bringt Dir diese Abfrage dann eigentlich? Ohne das Auslesen Deines Adressbuches ist das App quasi ja wertlos.
Der eigentliche Punkt ist aber ja nicht einmal die Abfrage an sich, sondern die komplette Übertragung Deines Adressbuches auf einen US-Amerikanischen Server. Was die dort mit Deinen Adressinformationen anfangen weiss niemand! Und da können sie auch beteuern, dass sie nie etwas damit anstellen, wie sie wollen! Sind die Daten erst mal weg, hast Du keine Kontrolle mehr wohin und wie oft die Daten kopiert werden. Da gibt es bessere Alternativen, die die Adressen nicht kopieren bzw. sofort wieder löschen und diesen Umgang mit DEINEN DATEN auch KLAR UND UNMISSVERSTÄNDLICH in den Datenschutzrichtlinien schreiben!
Lies Dir mal die Datenschutzrichtlinien von WhatsApp durch und interpretier sie richtig. Falls Du ein vernünftig denkender Mensch bist, denkst Du danach vielleicht anders über WhatsApp.
Um allen hier das akribische durchforsten der Datenschutzerklärung zu erleichtern, nenne doch kurz die fragwürdigen Klauseln. Whatsapp hat nun meine Nummer und speichert relativ unkritische Nachrichtigen (wichtiges, ernste Angelegenheiten regel ich per Mail, Telefon oder Persönlich) von mir. Und weiter?
iCloud kennt auch all deine Adressen und Termine. (falls du es benutzt). Und der Server steht auch in den USA ;-) Und Google, und Facebook, und…. ;-)
Mensch Leute, dann lasst es halt einfach bleiben! Geht mal wieder ins Kaffee und sprecht miteinander! Das ist, als beschwere man sich darüber, dass der schnelle Ferarri so immer so laut ist. Entweder oder …
Wo ist der *gefällt mir* button xD
Komisch ich nutze es ebenfalls und auch mir wurde schon vor 3-4 Jahren die besagte Frage gestellt – der Hype um die Datendiskussion ist sowas von künstlich und unnötig …
RCS = neu und nicht von Apple; ergo nutzt das keiner.
dummer Kommentar …
RCSe bringt Dir Kosten…ist das den nix ;-)
What’s Up ist schon genial…bis auf die Applegeschichte innerhalb der iOS Geräte…das ist auch eine tolle Idee gewesen. Für ein technisches Abfallprodukt extra auch noch Geld bezahlen kam mir noch nie in den Sinn.
Und ehrlich gesagt wird doch nur ca. 95% geistiger Dünnpfiff geschrieben…also Wayne.
So lange es noch Schwachmaten gibt, die bei Facebook schreiben, dass sie verreisen und ein öffentliches Profil haben, sehe ich da die größere Gefahr. Meine Whatsappunterhaltung ist belangloser Kram, da kann kein Fremder was mit anfangen. Pure Panikmache.
Solange es noch Schwachmaten gibt, sollten wir generell auf alle Sicherheitsmaßnahmen verzichten, full ack!
:-) exakt.
bis auf die Applegeschichte innerhalb der iOS Geräte…das ist auch eine tolle Idee gewesen. Soll was jetzt heißen ?? Was meinst du ??
iMessage
Hey Skype ist grad nicht besser
Da muss ich nicht zwingend eine rufnummer angeben die dann von anderen übermittelt wird. Und dien Registrierung macht jeder freiwillig von sich aus. Das is was ganz anderes
Ach, und zu whatsapp wird man gezwungen?
scheint so … Gruppenzwang :D
Kurz gesagt find ichs anmaßend dass ich nichts dagegen machen kann dass ein oder zwei Hinterwäldler die sich keine SMS flat im Vertrag leisten können/wollen und den whatsapp Käse nutzen OHNE MEINE Einwilligung MEINE Telefonnummer über denen ihr Telefonbuch an irgendwelche US Server senden nur um schmarrn schreiben zu können da es für Wichtes unbrauchbar ist.
Da könnt ihr reden wie ein Buch. Das ist alles andere als legitim.
Apps die ohne das wissen der Besitzer seiner Daten diese zu dritten Personen senden gehören aus dem App store verbannt. Klar willigt man die AGBs ein. Aber wer liest die. Und wieviele WhatsApp Nutzer verstehen überhaupt was da drin steht..
Hier sollte erst mal nachgedacht werden und dann geurteilt
Wenn du so große Angst davor hast, dass deine Tel.-Nr. auf irgendeinem Server landet, dann geb‘ sie halt nur Leuten, die wie du denken.
Dir ist aber schon klar, dass das deine Sache ist. Du willst ein die AGBs zu akzeptieren, ob du sie nun gelesen hast, ist deine Sache. Das Argument „die liest doch keiner“ ist rechtlich soviel Wert, wie ein Stein.
Du hast angegeben, dass du die AGBs GELESEN und akzeptiert hast. Folglich findet es nicht ohne dein Wissen statt und ob du sie nun gelesen hast oder nicht, interessiert niemanden.
Soll oben „willigst“ heißen.
In was für Diskussionen so ein Push immer enden kann! ‚Kopfschütteln‘
Naja man muss ja mal den vernagelten Menshen die Augen öffnen.
Ich sehe auch in verschlüsselten Netzwerken ein Problem: Hier ist innerhalb der Familie oder einer Firma dem Ausspionieren ja auch Tür und Tor geöffnet.
Oder ist das bei WPA(2)-Verschlüsselung nicht möglich?
Nein, innerhalb eines WPA2 Netzwerks ist der Datenverkehr ausreichend verschlüsselt.
Wenn ich Zugriff auf den Router habe, dann kann ich auch mitlesen. Selber schon gesehen…
Ja, nein, vielleicht, weiß nicht, hilfe, abbrechen… was nun?
Black-Mamba-HQ:
Nenn mir mal ein Szenario, was ein amerikanischer Entwickler mit der Nummer von Peter Pan-0176 22334455- kriminelles anfangen kann.
Ey, was fällt dir ein hier meine Nummer zu posten!!
normalerweise ist/sollte in öffentlichen WLANs die Point-to-Point Kommunikation unterbunden sein („Client Isolation“) und dann klappt es nicht… ist wie VoIP (G.711) im LAN sniffen, geht auch nur am Monitor-Port der Switch, also konstruierter Sonderfall…
Geht aber i.d.R. nur i.V. mit MAC-Filterung. Wie willst du das denn realisieren?
Anmelden, dann surfen ?
Android ist böse…. da gibt es auch böse Apps. Tolle Freiheit.
VPN….
leute das schlimme ist doch: selbst wenn ihr selbst nicht einwilligt die eigenen kontakte hochzuladen – dann tut es ganz bestimmt einer eurer freunde für euch weil ihr in deren kontaktliste steht. das ist wie bei facebook: man muss selbst nicht angemeldet sein aber andere freunde markieren dich halt auf zB einem partybild mit deinem namen und schon bist du widerwillen teil dieser comunity!
also warum aufregen??? bedankt euch im freundes/bekanntenkreis! es gibt kein zurück mehr!
das war übrigens mal in einer doku im zd zu sehen, das man nicht selbst in den soz. netzwerken angemeldet sein muss um trotzdem „getagged“ zu sein/werden!!!
also zurücklehen, bier und chips auf den tisch und das pokalfinale heute abend geniessen und dabei mit freunden via whatsapp sich darüber austauschen!
:P
nur blöd dass dich bei fb niemand markieren kann, wenn du bei fb nicht angemeldet bist. noch dazu, mann mus mit dem jenigen im fb befreundet sein damit er einen markieren kann.
Also ich finde das Thema Sichergeit bei Whatapp sinnlos.
Vor Länger Zeit ging es im die Sicherheit bei Sony, dann bei Facebook, dann Siri, dann Dropbox usw.
Und die die garnichts davon haben, sind dann die die eine Payback-Card oder Deutschland-Card fröhlich und naiv einsetzen.
Wer damit Probleme hat seine Daten weiterzugeben soll sich eben einfach nicht anmelden oder.
Ich verstehe den ganzen Eind nicht! Schmeißt doch Eure Smartphones und Handys weg. Oder glaubt Ihr im Ernst das Apple oder Eirr Provider mit Euren Daten kein Geschäft macht?
Und dann noch der deutsche Staat, auf den viele so stolz sind. Da scheinst Euch egal zu sein was der mit den Daten veranstaltet.
Ich persönlich bin bei Facebook nicht, da es niemanden etwas angeht ob ich beim kacken bin oder ob ich mich gerade darüber freue das die RAF wieder ins leben gerufen wird oder ich gerade schlechte Laune habe und mich selbst bemitleide.
Wer wirklich wichtige Daten hat, muss eben richtig Asche hinlegen.
Also nie wieder hochsensieble Daten über WhatsApp verschicken? Schade – wird mir fehlen ;-)
Dann ladet es doch nicht runter wenn ihr Angst habt, dass vielleicht mal irgend jemand fremdes eure sauwichtigen Sachen lesen kann!!!
Ladet Euch mal das App Cloak. Das verschlüsselt das WLAN Signal .
http://itunes.apple.com/de/app.....35722?mt=8
Cloak verschlüsselt nicht das WLAN-Signal sondern baut eine verschlüsselte Verbindung zu einem Server außerhalb des lokalen Netzes auf, also VPN.
Zur Verschlüsselung des WLAN wird eher WPA/WPA2 eingesetzt, das aber dann dein Smartphone leisten sollte und nicht per Software geht.
Das mag v Andreas etwas ungenau formuliert sein, aber Cloak löst doch das hier behandelte Problem, oder?
(Außer dass nun auf dem CloakServer alles zu lesen ist)
Daumen hoch für die Wenigen hier, die sich über Datenschutz und Sicherheitsrisiken ernsthaft Gedanken machen.
Der Rest der Diskutanten scheint die Thematik nicht erfassen zu wollen bzw. vor allem nicht zu können. Bedauerlich, aber das spiegelt den Wissensstand des Durchschnittsbürgers wider…
Ich hätte es nicht besser formulieren können. Bravo!
…
Dank auch an BlackMamba und andere unermüdliche; es ist schön zu lesen, das Reflektion noch praktiziert wird.
Ich versteh sowieso nicht, warum ich mich in ein freies WLan einwähle. Sollte doch jeder ne Internetflat haben.
Es sei denn ich wäre 18 und muss bei Burger King tolle Youtube Vids laden und auf dicke Hose machen
Also, ich kann echt nur Kopfschütteln, wie sich immer wieder im Netz (z.B. in Kommentaren) an die Gurgel gegangen wird (im übertragenen Sinn). Muss doch möglich sein Stanpunkte offenzulegen ohne dabei abfällig zu werden!? Ich kann das nicht verstehen! Hat das was mit Reife zu tun, oder mit Charakter?
Wirkt auf mich wie verbales „in die Fresse schlagen“!
Ernsthaft:
Findet Ihr das normal?
Gebt ihr euch im Alltag auch so?
Interessant wie sich manche pubertären WhatsApp-Fanbois eine solch schlampige und grob-fahrlässige Programmierung seitens der Entwickler Schönreden. Es macht heutzutage überhaupt keine Mühe die Übermittlung zu verschlüsseln, auch Performance-Gründe gibt es hierfür keine (siehe iMessage).
Den WhatsApp Entwicklern ist die Sicherheit ihrer Kunden schlicht und einfach scheißegal, Hauptsache der Kunde zahlt und erstellt gut verwertbare Nutzerprofile. Erst wenn die Medien auf die Schweinereien hinweisen wird notdürftig ausgebessert – nicht etwa um den Kunden zu schützen, sondern um Verkaufseinbußen wg. eines drohenden Imageschadens zu minimieren.
Ich habe die App mal auf meinem Geschäfts-Test HTC Desire S installiert und wollte mal schauen ob dass wirklich so einfach geht, doch bei mir bleibt der Screen immer leer obwohl ich im Wlan-Netzwerk Whatsapp Meldungen versenden. Gut es könnte sein, dass man für die App vielleicht das HTC zuerst noch rooten muss damit wirklich was geht, bin mir aber nicht sicher. Fakt die App auf einem normalen Android geht wohl nichts.
also ich find des scheise für andere die sich neu ein smart pohne kaufen und kein wahts app haben immer hin können ja die leute selber entscheiden ob sie es haben wollen oder nicht wahts app soll wider ztu verfügung gestellt werden finde ich