Vor einigen Tagen fand ich die Seite www.filsh.net um Youtube Videos in verschiedene Formate zu konvertieren. Wenige Tage später machte der Entwickler durch ein ganz besonderes Projekt auf sich aufmerksam. Sascha Gehlich hat ein Web-Interface für Whatsapp programmiert, das schon am Wochenende durch diverse Tech-Blogs flatterte.

Ich habe vor kurzem schon über die Sicherheitslücken bei Whatsapp geschrieben, jetzt gibt es ein funktionierendes Beispiel für die Möglichkeiten dieser Lücken. Man braucht nur die Rufnummer, die IMEI und die API, schon kann der Unfug beginnen! Ich habe den “Dienst” selbst getestet, er funktioniert erschreckender Weise “wunderbar”. Nachrichten, die ihr über dieses Interface verschickt, werden nicht in eurem Smartphone angezeigt. Gebt nur die Nummer ein und schreibt los.

 

Ich habe den Entwickler per E-Mail ein paar Fragen gestellt und spontan ein mini-Interview daraus gemacht:

Hi Sascha, was machst du beruflich?

Nach meiner Ausbildung zum Fachinformatiker bei 9elements habe ich mich mit meinem Projekt FILSH.net selbstständig gemacht. Daraus ist die FILSH Media GmbH entstanden, die ich nun als alleiniger Geschäftsführer betreibe.

Wie lange hast du an diesem Projekt gesessen?

Da es bereits eine inoffizielle PHP-API bei Github gab, konnte ich mich bei der Entwicklung des Projektes daran orientieren. Die Portierung des PHP-Scripts nach JavaScript hat ca. 2 Stunden gedauert, anschließend habe ich jedoch ca. 2 Tage mit der Entwicklung des Chats und dem Beheben von Bugs verbracht.

Welche Lücken sind deiner Meinung nach am fahrlässigsten?

Alle! Die Authentifizierung ist allein durch die Angabe einer Telefonnummer und der dazugehörigen Mac-Adresse bzw. IMEI (Welche durch max. 3 Touches aus jedem Smartphone ausgelesen werden können) möglich und die Nachrichten werden anschließend im Klartext übertragen und können dadurch sehr leicht und ohne weitere Hilfsmittel mitgelesen werden.

Welchen Grund könnten diese geringen Sicherheitsmechanismen haben?

Bei dem Sicherheitsproblem bezüglich der Authentifizierung ist das ganz klar: Die einfache Einrichtung ohne die Eingabe eines Passworts hat stark zu dem Erfolg und rasanten Wachstum von WhatsApp beigetragen. Jedoch kann ich mir nicht erklären, wieso alle die weiteren Daten (Nachrichten, Bilder, Telefonnummern etc.) unverschlüsselt übertragen werden. Das kann man sich eigentlich nur durch schlechte und fahrlässige Programmierung erklären.

Sowie ich Whatsapp auf dem Smartphone öffne, wird die Verbindung im Browser gekappt. Woran liegt das und wie groß wäre der Aufwand das auch noch zu umgehen?

Das von WhatsApp verwendete Protokoll sieht nicht vor, dass mehrere Clients gleichzeitig verbunden sein können. Das kann auch nicht umgangen werden. Wenigstens ein guter Punkt!

Was passiert mit den Daten, die in deinem Web-Interface eingegeben werden?

Die Login-Daten (Telefonnummer, IMEI und Nickname) werden auf Wunsch lokal gespeichert, um sich später einfach wieder einloggen zu können. Die Daten werden beim Login nur zur Authentifizierung verwendet und werden dabei nicht geloggt. Auch die Unterhaltungen, die über den Client geführt werden, werden in keiner Weise auf unserem Server gespeichert.

Was meinst du, wie aufwändig wäre ein Fix dieser Lücken?

Eine einfache Verschlüsselung würde bereits reichen. Tatsächlich hat WhatsApp vor Kurzem eine neue Version für das iPhone released, welche die Nachrichten verschlüsselt versendet und empfängt. Jedoch wird (soweit ich richtig informiert bin) der Schlüssel, der zur Entschlüsselung nötig ist, im Klartext übertragen, wodurch eine Entschlüsselung weiterhin möglich ist. (Siehe http://pastebin.com/g9UPuviz, Zeile 54)

Vielen Dank für deine Zeit!

Sehr gerne, vielen Dank für das Interview

 

Auch die Funktionsweise dieser Lücke hat Sascha noch einmal genauer erläutert:

Die Authentifizierung mit dem WhatsApp-Server ist absolut simpel: Hierfür wird nur die Telefonnummer und die WLAN-Mac-Adresse (iPhone) bzw. die IMEI (Android etc.) benötigt, welche problemlos und mit 3 Touches aus jedem Smartphone ausgelesen werden können. Letzteres wird als Passwort verwendet und bei der Authentifizierung MD5-verschlüsselt mitgesendet. Der Authentifizierungsvorgang ist dabei der einzige Vorgang, der verschlüsselt wird.

Die Nachrichten selbst werden in einem Bytestream übertragen, welcher jedoch sehr leicht lesbar und unverschlüsselt ist. Das heißt: Die Nachrichtentexte werden im Klartext über das Protokoll übertragen. Also kann jeder, der sich im gleichen WiFi-Netz befindet, über einen Netzwerksniffer wie beispielsweise Wireshark sämtliche Nachrichten problemlos mitlesen.

Ein weiteres Sicherheitsproblem ist die Bildübertragung: Sendet der User ein Bild, so lädt die App das Bild auf einen WhatsApp-Server und schickt nur die URL und ein Thumbnail an den Empfänger. Die URL ist für jedermann abrufbar und benötigt keine weitere Authentifizierung: https://mms604.whatsapp.net/d2/21/12/6/3/63e97d90ad5119fcf5d14518f9c9819e.jpg

Ich habe den Web Client entwickelt, um die WhatsApp-User auf die Sicherheitslöcher hinzuweisen und WhatsApp aufzufordern, diese zu schließen. WhatsApp ist das Problem bereits seit geraumer Zeit bekannt, jedoch gab es bisher noch keinen Fix. Stattdessen ist WhatsApp auf den Entwickler der PHP-API (https://github.com/venomous0x/WhatsAPI) zugegangen und hat ihm die weitere Entwicklung und Veröffentlichung der API untersagt.

 

Ich erlaube mir eine kleine Zusammenfassung:

Whatsapp versendet eure Daten unverschlüsselt und nutzt als einzige Sicherheitsvorkehrung Daten, die jede Applikation im Store mit einer minimalen Berechtigungsanfrage abrufen kann und anstatt sich dieser Problematik zu stellen, verbietet man lieber öffentliche Hinweise auf diese Lücken.

Liebes Whatsapp-Team, ich bin kurz davor eure App zu löschen und erst wieder zu kommen, wenn es länger als 2 Tage Arbeit benötigt, euren Dienst “Bugfrei” zu hacken! Allen Anderen empfehle ich erneut (dringendst) private Daten nicht per Whatsapp zu versenden.

 

Quelle: Filshnet Whatsapp Browser-Interface