WhatsApp-Sicherheitslücke: Fast alle Apps können Nachrichten-Historie mitlesen und weitersenden

Frank Ritter 21

WhatsApp hat mal wieder ein Sicherheitsproblem. Weil der Messenger in der Version für Android-Geräte Nachrichten an einem für alle Apps zugänglichen Ort auf dem internen Speicher ablegt, kann praktisch jede andere installierte App auf die komplette WhatsApp-Nachrichten-Historie des Nutzers zugreifen – und unbemerkt an fremde Server senden.

WhatsApp-Sicherheitslücke: Fast alle Apps können Nachrichten-Historie mitlesen und weitersenden

Lange nichts mehr zur Sicherheitslage von WhatsApp gehört. Seltsam eigentlich, denn das kürzlich von Facebook für 19 Milliarden Dollar übernommene Startup zeichnete sich bereits in der Vergangenheit durch diverse eklatante Lücken aus, etwa unverschlüsselte Nachrichten, die in öffentlichen WLANs von jedem mitlesbar waren oder ein Authentifizierungsverfahren, das als Passwort den MD5-Hash der umgedrehten IMEI-Nummer des Gerätes verwendete und das Kapern eines WhatsApp-Accounts sehr einfach machte.

Jetzt gibt es eine neue Lücke in WhatsApp. Nun gut, neu ist sie nicht, gerade wird sie aber in den Online-Medien als brandheiß herumgereicht. Konkret geht es darum, wie Nachrichten auf dem Gerät gespeichert werden. Anders als andere Apps verwendet WhatsApp keinen Ort, um Nachrichten lokal zu speichern, der exklusiv der App zugänglich ist. Stattdessen werden diese direkt in das Unterverzeichnis WhatsApp des Stammverzeichnisses im internen Speicher beziehungsweise, falls vorhanden, der SD-Karte geschrieben. In folgenden SQLite3-Datenbanken sind die Nachrichten gespeichert:

/WhatsApp/Databases/msgstore.db
/WhatsApp/Databases/wa.db
/WhatsApp/Databases/msgstore.db.crypt

Die ersten beiden genannten Dateien sind Relikte aus früheren WhatsApp-Versionen. Letztere ist eine neuere Version der Datenbank für alle WhatsApp-Textnachrichten, diese werden lokal auf dem Gerät verschlüsselt.

Angesichts der Tatsache, dass man beim Start von WhatsApp nicht zur Eingabe eines Passworts aufgefordert wird, kann man schlussfolgern, dass die Passphrase entweder hart enkodiert oder gerätespezifisch sein muss. Ersteres ist der Fall, der AES-Key zum Entschlüsseln aller aktuellen WhatsApp-Nachrichtendatenbanken kursiert bereits seit längerem durch das Netz und ist keinerlei Hindernis zur Entschlüsselung des Inhalts mehr.

Da WhatsApp wie erwähnt die Datenbank in ein Verzeichnis ablegt, das für jede andere App zugänglich ist, die über die Berechtigung READ_EXTERNAL_STORAGE verfügt, wäre es ein triviale Aufgabe, einen Trojaner zu schreiben, der die die gesamte Nachrichtenhistorie des Nutzers an „dunkle Subjekte“ hochlädt. Diese könnten den WhatsApp-Gesprächsverlauf dann ohne großen Aufwand entschlüsseln und auswerten. Der niederländische IT-Experte Bas Bosschert liefert in seinem Blogartikel gleich den Code für entsprechende Tools, also eine entsprechende APK sowie ein Web-Backend, an das die Daten übermittelt werden.

Kritisch ist zweierlei an der Praxis von WhatsApp: Einerseits, dass Nachrichten an einem für andere Apps zugreifbaren Ort abgelegt werden. Andererseits dass mit einer lokalen Verschlüsselung, die mit minimalem Einsatz zu knacken ist, nicht existente Sicherheit suggeriert wird.

Wie gesagt, neu ist das Problem nicht. Nicht zuletzt WhatsApp-Statistik-Tools wie WhatStat wären ohne diese, euphemistisch formuliert, Eigenheiten des Messengers nicht denkbar. Ein eklatantes Sicherheitsproblem existiert hier dennoch.

Wer aufgrund dieser Informationen umsteigen will, sei auf unsere Liste der WhatsApp-Alternativen verwiesen.

Quelle: Bas Bosschert [via reddit]

► Tipp: Mit der WhatsApp-Prepaid-SIM immer WhatsAppen – auch ohne Guthaben

Zu den Kommentaren

Kommentare zu dieser News

Weitere Themen

* gesponsorter Link