Die meisten WhatsApp-Kunden dürften ihr Probe-Abo voll ausgenutzt haben. Und das heißt: ein Mal bezahlen, bitte! Doch das deutsche Sicherheitsunternehmen Curesec warnt vor einer Lücke im Programm, über die Hacker sehr leicht an Paypal-Daten oder auch den Dienst Google Wallet zugreifen können.

Für die Sicherheitsfirma hat WhatsApp eine „extrem schlechte Form“ aus verschlüsselten und unverschlüsselten Verbindungen gewählt. Die Verbindung zwischen dem WhatsApp-Server und dem Bezahldienst ist durch Secure Sockets Layer (SSL) verschlüsselt. Doch zwischen dem Browser der App und dem WhatsApp-Server werden alle Daten im Klartext übertragen.

Da der Browser bei jedem Bezahlvorgang startet, wäre es für einen Angreifer ein Leichtes, herauszufinden, wann ein Bezahlvorgang stattfindet und die eingegeben Daten abzufangen. Nun muss er den Nutzer nur auf eine andere Seite umleiten. Im Curesec-Blog heißt es: „Mit einem geeigneten Man-in-the-Middle-Angriff wäre es möglich, einen User, der gerade für WhatsApp bezahlen will, auf eine beliebige Webseite umzuleiten. Und mit einer falschen Google-Wallet- oder Paypal-Seite ließen sich dann Nutzerkonten sammeln.“

Obwohl Curesec WhatsApp bereits drei Mal kontaktiert hat, kam bisher keine Antwort von dem Unternehmen. Auch andere Experten machen sich jetzt Gedanken darum. Viele weisen darauf hin, dass es ein Angreifer zwar sehr leicht hätte, wenn er sich mit dem WhatsApp-Kunden im gleichen WLAN befände, doch die Wahrscheinlichkeit sei bei einem einzigen Bezahlvorgang pro Jahr doch sehr gering.

Erst vor kurzem wurde bei der iOS-Tumblr-App ein Fehler in der SSL-Verschlüsselung bekannt, durch den Passwörter abgefangen werden konnten. Tumblr reagierte aber sofort mit einer aktualisierten Version, die als „sehr wichtiges Sicherheitsupdate“ publik gemacht wurde.

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger und Datenschutzauditor

————————————————————————————————————————-

Quellen und Links:

Originalartikel bei ZDNet
http://www.zdnet.de/88163371/sicherheitsfirma-uber-whatsapp-lucke-lassen-sich-paypal-und-google-konten-ausspionieren/

tec4net Ihr Starker IT-Partner


vorformulierten Vertrag
Das Urteil des Arbeitsgerichts Dessau-Roßlau (Az. 1 Ca 148/11)

Keine Kommentare möglich.