Android-Apps können WhatsApp-Nachrichten auslesen
Ein Sicherheitsforscher will eine Möglichkeit entdeckt haben, mit der Angreifer relativ einfach an alle WhatsApp-Nachrichten von Android-Nutzern gelangen können. Betroffen von dieser Sicherheitslücke sind jene, bei denen die Nachrichten mittels der Backup-Funktion von WhatsApp auf dem Smartphone gesichert werden.
Voraussetzung dafür ist allerdings eine für diesen Zweck programmierte Android-App, die auf dem jeweiligen Gerät installiert werden muss. Laut dem niederländischen Sicherheitsforscher Bas Bosschert benötigt diese Anwendung zum Auslesen der Daten wiederum nur den Zugriff auf den im Gerät verbauten Speicher beziehungsweise auf die im Smartphone befindliche SD-Speicherkarte sowie das Recht auf mobilen Internetzugang, damit die WhatsApp-Chats auf einen Server des Angreifers übertragen werden können.
Ein mögliches Angriffsszenario skizziert Bosschert ebenfalls, in welchem die WhatsApp-Daten etwa mit Hilfe eines Android-Spiels ausgelesen werden. In diesem Fall würde der Anwender das Spiel starten, zur Erfassung der WhatsApp-Datenbank käme es dann bereits während des Lade-Bildschirms. Der Nutzer hätte dabei somit erwartungsgemäß keine Möglichkeit, den Vorgang des Auslesens als nicht rechtmäßig zu erkennen.
Gelangen diese Daten dann endgültig an den Angreifer, stellt die vor einiger Zeit von WhatsApp eingeführte Verschlüsselung des Nachrichten-Backups (msgstore.db.crypt) keinen wirklichen Schutz dar. So ist das verwendete AES-Verfahren durchaus sicher, aufgrund des zuletzt bekanntgewordenen statischen 192-Bit-Schlüssels lässt sich die verschlüsselte Datenbank jedoch mittels eines Python-Scripts dechiffirieren und auch auswerten. Für Letzteres habe Bosschert die Anwendung WhatsApp Xtract verwendet.
Der Niederländer hat den entsprechenden Code auf seinem Blog als sogenanntes Proof of Concept (PoC) veröffentlicht. Auf Rückfrage schreibt Bosschert in den Kommentaren außerdem, dass das gestern veröffentlichte WhatsApp-Update für Android keine Auswirkung auf diese Schwachstelle habe und das PoC nach wie vor funktioniere. Nutzer, die die Backup-Funktion von WhatsApp deaktiviert haben, sollen vor solchen Angriffen sicher sein.
Aus diesem Grund sei Nutzern von WhatsApp sowie allen Besitzern eines Android-Geräts geraten, beim Download neuer Android-Apps auf die erteilten Berechtigungen zu achten und nur verifizierten Quellen zu vertrauen sowie die Sicherung des Chatverlaufs – zumindest bis die WhatsApp-Betreiber nachgebessert haben – nicht zu aktivieren.