News Weitere Sicherheitslücke in WhatsApp aufgedeckt

Hi,

@homerpower

Dann hast du eben einfach Glück, aber ein "Gerücht" ist es schlicht und ergreifend nicht, wenn WhatsApp das auf ihrer Homepage so angibt. Dass sie es momentan nicht erheben mag schon richtig sein, einen Ansrpuch darauf haben sie aber.

@Topic

Finde ich als Softwareentwickler richtig peinlich, dass es sowas heutzutage noch gibt. Hoffentlich gibt es bald Alternativen, die sicherer sind.

VG,
Mad
 
Wieso sollte es "heutzutage" keine Sicherheitslücken mehr geben? Software wird immer komplexer, und damit steigt das Potential für Bugs, die eben auch eine Sicherheitslücke darstellen können.
 
@Madman1209: Okay auf der Hompage steht das es nach einem Jahr 99 $ kostet, aber habe noch keinen Android nutzer kennen gelernt der zahlen musste :)
 
Jetzt wo "Joyn" startet halte ich es für sehr sinnvoll, auf die Gefahren der kostenlosen Konkurrenz aufmerksam zu machen.
 
specialsymbol schrieb:
Im Ernst: Das läßt mich momentan noch kalt. Was ich über WhatsApp verschicke kann ich genausogut per Postkarte oder eMail verschicken (die auch nicht sicherer ist).

So sieht es aus, warum alle immer son einen Aufstand machen. WhatsApp is umsonst und meine Postkarte kann man auch lesen und die kostet was o0




MFG Rush
 
Hi,

@homerpower

Genau das meinte ich :) Klar, solange es nicht erhoboen wird ist sollte man die Kirche im Dorf lassen, soweit hast du auch wieder recht.


@Kraligor

Es geht hier schon um das Grundlegendste an Sicherheit, welche man sich vorstellen kann. Das hat mit "komplexer Software" oder "Potential für Bugs" gar nichts, aber auch wirklich gar nichts zu tun! Wenn Daten im Klartext übertragen und abgelegt werden und eine IMEI (die jeder 10-jährige fälschen kann) zusammen mit meiner Nummer oder Wi-Fi MAC als Auth benutzt werden ist das einfach schlechter Stil und massiv fehlerhafte Planung - egal wie komplex die Software darunter ist.


@Rush

Warum sich alle aufregen? Weil ich so in deinem Namen "Postkarten" an deine Frau, deinen Chef und deine Familie verschicken kann und diese Personen auf den ersten Blick erst einmal nicht sehen, dass du das nicht warst. Im Gegenteil, es wird sogar für dich problematisch zu beweisen dass du es nicht warst. Von illegalen / strafrechtlich relevanten Inhalten mal ganz zu schweigen.

VG,
Mad
 
Mein Windows Phone 7 Account bei WhatsApp ist bist 2031 gültig, ohne das ich irgendetwas bezahlt habe. Ich kenne auch niemanden der je für WhatsApp bezahlt hat.

Zur News: Das ist doch keine "neue" Sicherheitslücke, sondern genau die, die schon seit Monaten bekannt ist. Jetzt wurde einfach nur eine Web-GUI zum ausnutzen dieser Sicherheitslücke geschrieben.
 
das das mit den kosten immer wieder aufkommt...
Nein...keine Kosten
 
Haha.... ich benutze prinzipiell kein WahtsApp, eben wegen der Lizensierungspolitik: iOS ist einmalig 0,79Cent... und bei allen anderen Plattformen ist das erste Jahr kostenlos, danach 1,99€ / Jahr.
sollte der Preis wirklich mal erhoben werden, kann man immer noch verzichten...

Ich hab keine Lust die iPhone-Kunden zu subventionieren...
die Realität sieht doch aktuell komplett anders aus!

Zum Thema Sicherheit: mich verwundert es immer, wenn bei etablierter Software noch solch gravierende Fehler gefunden werden :(

Ich benutze es weiterhin, aber lediglich für unwichtige Sachen...
 
Ist das wirklich eine Sicherheitslücke? Wie sonst soll denn die Kommunikation ohne Eingabe eines Passworts funktionieren?
Gut sie nutzen die IMAC/MAC, ich hätte halt eine zufällige GUID verwendet .. aber ist das was anderes als ein Passwort?
Wenn jemand dein ICQ Passwort kennt kann er das auch missbrauchen, einziger unterschied ist das man sein Passwort ändern kann :-p
 
specialsymbol schrieb:
Im Ernst: Das läßt mich momentan noch kalt. Was ich über WhatsApp verschicke kann ich genausogut per Postkarte oder eMail verschicken (die auch nicht sicherer ist).

Geht ja nicht darum was Du schreibst, sondern andere auch in Deinem Namen alles anrichten können.
 
Die News kommt leider paar Wochen zu spät.
Bereits vor Wochen hatte heise security selbiges aufgezeigt, das Problem ist nicht nur Authentifizierung, sondern auch die Verschlüsselung, diese setzt sich aus IMEI bzw. Mac Adresse (bei iOS Geräten) zusammen.
Dadurch kann man den Dienst eben mißbrauchen.

Leute sollten mal von dem Quatsch fern halten, denn das ist unter aller Sau, wie das Unternehmen Sicherheitsprobleme behandelt. Man hat das Gefühl, man will eine Art Lücke drin lassen, damit wer auch immer Zugriff auf die Daten hat.
 
mag schon sein, dass sowas ungut ist. Aber man braucht trotzdem erstmal die IMEI und die Telefonnummer um im Namen anderer zu schreiben und diese beiden Daten stehen ja nicht im Telefonbuch ;)

Also klar 1. ist WhatsApp sicher nicht DAS Werkzeug um wichtige und sensible Daten zu senden und 2. gehört sowas abgestellt.
 
Letztendlich muss doch jetzt aber auch jemand erstmal an meine Handynummer und IMEI/MAC kommen. Nicht, dass ich das gut heißen will, was da bei WhatsApp abläuft, aber wer mein E-Mail Passwort kennt, kann ja auch Nachrichten in meinem Namen verschicken.
 
Funktioniert ja nichtmal dieser Service, oder aber ich mach etwas falsch.

Hats bei euch denn geklappt?
Gebt ihr die Mac-Adresse mit ":" ein?
 
Das nennt ihr "News"? Stand schon vor 10 Tagen auf heise.

Dazu auch noch mit mehr Informationen...
 
Zuletzt bearbeitet:
bin grad in Südkorea. Hier nutzt jeder, und ich meine wirklich absolut jeder Kakaotalk. Gibt es sogar auf deutsch, warum auch immer. Hab bevor ich hier hinkam noch nie was darüber gehört. Na jedenfalls funzt es wie whatapps. Man kann durch seine Kontakte die Leute finden, aber auch durch einen Nickname Leute in seine Liste aufnehmen. Darüber Telefonieren ala Skype geht auch, auch wenn ich das noch nicht probiert habe.
Von der Benutzung und vom Style gefällt es mir jedenfalls besser.
 
Man sollte nicht vergessen, dass diese Programm monetär nichts kostet.
Daher werden die sicherlich wenig Resourcen haben, um solche Dinge besser zu planen (wäre aber sinnvoll) oder zu beheben.

Das Nachrichten von Fake-Adressaten kommen können, ist natürlich bedenklich.
Aber müsste man dann nicht auch die Kontakte dessen kennen, den man schädigen will?
 
Zurück
Oben