WhatsApp ist eine sehr beliebte Anwendung für Smartphones, die es dem Nutzer erlaubt plattformübergreifend (iOS, Android, BlackBerry OS, Symbian und Windows Mobile) Nachrichten, Foto-, Video- und Audiodateien zu verschicken, ähnlich einer SMS oder MMS.

Durch die hohe Verbreitung der App, gelangt diese schnell ins Visier von Hackern, die nach Schwachstellen suchen und diese ausnutzen.

Die Information, dass WhatsApp die IMEI des Smartphones als Passwort nutzt ist mittlerweile nicht mehr neu. Allerdings ist es erschreckend zu sehen, wie einfach es ist mit den erforderlichen Daten Nachrichten über fremde WhatsApp-Accounts zu senden.

Ein Webclient von FILSH Media zeigt wie leicht dieser Vorgang ist. Der Webclient braucht lediglich die Telefonnummer und die IMEI (Android), bzw. MAC-Adresse (iOS) des „Opfers“. Die IMEI selbst lässt sich in der Regel mit der Tastenkombination *#06# direkt am Handy auslesen. Die MAC-Adresse wird bei jedem Besuch in einem WLAN im Router angezeigt oder lässt sich mit Hilfe von Netzwerksniffern herausfinden. So gesehen ein relativ leichtes Spiel für Datenschnüffler aus dem unmittelbaren Umfeld.

WhatsApp Web Client

Umso kritischer wird diese Sicherheitslücke, da sich das Passwort vom Benutzer selbst nicht ändern lässt, da dieses durch die IMEI, bzw. durch die MAC-Adresse fest vorgegeben ist. Das heisst ein einmal gekaperter WhatsApp-Account lässt sich nicht mehr retten!

Achtung: Wir empfehlen generell auf den Einsatz von WhatsApp in öffentlichen Netzwerken zu verzichten! Gerade in Verbindung mit BYOD-Strategien in Unternehmen ist höchste Vorsicht geboten.
 

23.10.2012 Update: Unsere Kollegen bei Techfacts haben uns darauf hingewiesen, dass ein kostenloses Update für WhatsApp erhältlich ist.
Wie im Ratgeber von Techfacts beschrieben, wird bei iTunes zuerst fälschlicherweise ein Preis von 0,79€ für das Update aufgerufen, welcher aber im Zuge der Kaufabwicklung letztendlich nicht berechnet wird. Sobald man den Kauf bestätigt, kommt die Meldung, dass das Update kostenlos ist.
WhatsApp Benutzer sollten also nicht länger zögern, sondern WhatsApp umgehend aktualisieren.
Vielen Dank nochmals an die Kollegen von Techfacts für den Hinweis.