SE-Handy-Galaxy Forum

Vor einiger Zeit stand WhatsApp unter starkem Beschuss, weil es sehr einfach war, fremde Accounts zu übernehmen, ohne dass der Besitzer es bemerkte. Nach (viel zu) langer Zeit reagierte das Unternehmen endlich und besserte nach. Aber wie steht es denn jetzt wirklich um die Sicherheit Eures Accounts?

WhatsApp ist vor allem deshalb so bequem, weil man die App einfach installieren und direkt loschatten kann. Benutzername und Passwort anzulegen ist nicht nötig. Möglich ist das, da die Telefonnummer der eingelegten SIM-Karte als Benutzername fungiert. Vor dem Sturm der Entrüstung über die Sicherheit des Dienstes ließ sich das Accountpasswort einfach herausfinden: Auf iOS-Geräten war die MAC-Adresse die Basis des Passworts, unter Android und anderen Systemen konnte man mit wenigen Handgriffen aus der IMEI (bei Android in den Einstellungen zu finden) den Schlüssel zum Account generieren.

Problem dabei war: Kam jemand in Besitz von IMEI und Handynummer eines Nutzers, konnte diese Person den Account kapern, Nachrichten in fremden Namen schicken und auch empfangen. All das geschah, ohne dass das Opfer etwas davon merkte. Außerdem gab es keine Möglichkeit, um den Missbrauch zu verhindern, da das eingangs eingestellte Passwort später nicht mehr änderbar war.

Glücklicherweise hat WhatsApp reagiert: Es ist nicht mehr so einfach möglich, andere Accounts zu kapern. Und sollte es trotzdem geschehen, erfährt das Opfer, dass sein Account nicht mehr ihm gehört. Außerdem gestaltet sich die Gegenwehr jetzt sehr einfach. ABER: Accounts können weiterhin übernommen werden!

Mittlerweile hat sich die Art, wie das Konto-Passwort generiert wird, geändert. Nach der Installation von WhatsApp erhält man einen Bestätigungscode per Anruf oder SMS. Dieser wird an den WA-Server geschickt, verifiziert und zurück kommt ein Passwort, das lokal auf dem Smartphone gespeichert wird. Im Klartext: WhatsApp weist dem Gerät bei der Registrierung ein eigenes Passwort zu, das nicht geändert werden kann. Der Vorteil liegt darin, dass niemand an Euer Smartphone gehen und das Passwort einfach auslesen kann, wie es zuvor der Fall war.

So werden Accounts gekapert

Möchte man WhatsApp mit der selben SIM-Karte in einem anderen Gerät nutzen, muss man die App neu aktivieren. Dazu wird ein neuer SMS-Code und auch ein neues Passwort angefordert, woraufhin die App nutzbar wird. Genauso verhält es sich mit der Accountübernahme: Über eine frei verfügbare Software fordert man über den PC einen neuen Bestätigungscode per SMS an. Hier liegt der Vorteil der neuen Methode für das Opfer: Der Täter braucht Zugriff auf das Smartphone des Opfers, um den Bestätigungscode auszulesen. Nur so lässt sich ein Account übernehmen. Hat man den Code, wird dieser im Programm eingetragen, woraufhin man das neue Passwort zum Account erhält, mit dem sich jetzt fast alle WhatsApp-Features vom PC aus nutzen lassen: Nachrichten schreiben und empfangen, Bilder, Videos und Kontakte senden: alles kein Problem.

Anfangs schrieb ich, dass das Opfer recht schnell bemerkt, dass etwas mit dem eigenen Account nicht stimmt. Das passiert dann, wenn die App auf dem Smartphone des Opfers versucht, Kontakt mit dem WA-Server aufzunehmen. Das Passwort, mit dem die App sich einloggen möchte, ist nicht mehr korrekt, weshalb der Nutzer aufgefordert wird, einen neuen Bestätigungscode anzufragen. Sobald das Opfer einen neuen Code beantragt, hat der Täter keine Kontrolle mehr über das Konto, da nun sein Passwort wieder inkorrekt ist. Der Ausgangszustand ist wiederhergestellt.

Fazit

Mit der Entscheidung, lokal gespeicherte Passwörter einzuführen, hat WhatsApp den wohl bestmöglichen Mittelweg zwischen möglichst bequemer und einfacher Nutzung, sowie erhöhter Sicherheit genommen. Auf der einen Seite ist eine Übernahme von fremden Accounts nun nur noch mit Zugriff auf das Smartphone möglich. Das schränkt den möglichen Täterkreis bereits stark ein und erhöht den Aufwand der Aktion im Vergleich zur unsicheren Variante ungemein. Auf der anderen Seite müssen Nutzer nicht auf Bequemlichkeit verzichten, da die Notwendigkeit, einen Account mit Benutzernamen und Passwort anzulegen, weiterhin entfällt.

Ihr könnt also ziemlich sicher sein, dass Euer WhatsApp-Account nur Euch gehört.