Hacken für Anfänger

25. September 2012 17:37; Akt: 25.09.2012 21:34 Print

So leicht lässt sich WhatsApp austricksen

von O. Wietlisbach - Im Internet lassen sich WhatsApp-Nachrichten im Namen anderer Nutzer versenden. Der Test zeigt: In wenigen Minuten und ohne Technikwissen kann jeder das Konto seines Opfers kapern.

storybild

Mit einer Netzwerk-App auf dem Handy links im Bild ermitteln wir die Seriennummer des zweiten Smartphones rechts im Bild. Mit dieser sogenannten Mac-Adresse lässt sich das WhatsApp-Konto in Sekunden entführen, obwohl das Handy in einem sicheren WLAN ist. (Bild: 20 Minuten Online)

Zum Thema
Fehler gesehen?
Fehler beheben!
Senden

Über die mannigfachen Sicherheitslücken in WhatsApp liessen sich Bücher schreiben. Dass die Kurznachrichten relativ einfach mitgelesen werden können, hat sich mittlerweile herumgesprochen. Nun demonstriert die Webseite whatsapp.filshmedia.net, wie einfach es ist, ein Konto eines anderen Nutzers zu übernehmen und in dessen Namen WhatsApp-Nachrichten zu senden und zu empfangen.

Auf der Webseite, die WhatsApps-Sicherheitsstandards regelrecht vorführt, muss man lediglich die Telefonnummer des Opfers sowie die Seriennummer seines Smartphones eingeben. Ohne nach einem weiteren Passwort gefragt zu werden, kann man sich so bei WhatsApp im Namen des Opfers anmelden und fortan im Webbrowser beliebige Nachrichten an alle möglichen Personen senden. Die Sicherheitslücke lässt sich für harmlose Spässe, aber auch für wüste Beschimpfungen oder gar Drohungen missbrauchen.

Von der Nutzung dieses webbasierten WhatsApp-Diensten raten wir ausdrücklich ab, da nicht ausgeschlossen werden kann, dass die Telefon- und Seriennummern in falsche Hände gelangen und Unbekannte so einen dauerhaften Zugriff auf den Account erhalten.

Leichtes Spiel für WhatsApp-Betrüger

Um ein fremdes WhatsApp-Konto zu übernehmen, brauchte man bislang rudimentäre Programmierkenntnisse. Mit der von Sascha Gehlich entwickelten Webseite, ist das Senden gefälschter Nachrichten zum Kinderspiel geworden. 20 Minuten Online hat Gehlichs Dienst getestet und konnte problemlos Nachrichten im Namen anderer versenden. Die notwendige Mac-Adresse, beziehungsweise IMEI-Nummer, lässt sich mit drei Klicks in den Einstellungen des iPhones, Android- oder Windows-Smartphones finden. Wer keinen direkten Zugriff auf das Handy seines Opfers hat, kann die Identifikationsnummer mit völlig legalen Netzwerk-Programmen in wenigen Sekunden ermitteln (siehe Foto). Solche Apps, die üblicherweise Netzwerk-Administratoren nutzen, spucken unter anderem die Mac-Adressen aller Geräte aus, die sich im gleichen WLAN befinden. Dies gilt auch für passwortgeschützte WLANs in Firmen oder an Schulen.

Das Passwort steht auf der Handy-Rückseite

Bei manchen Smartphones steht die Seriennummer (IMEI) gar auf der Rückseite aufgedruckt oder sie lässt sich mit einer einfachen Tastenkombination ermitteln. Dass WhatsApp diese Nummer zur Anmeldung nutzt, lässt Sicherheitsexperten die Haare zu Berge stehen: «Die Lücken sind erschreckend», sagte Webentwickler Gehlich im Gespräch mit dem deutschen Online-Portal gulli.com. Er habe die Seite, mit der sich gefälschte Nachrichten versenden lassen, nur erstellt, um zu zeigen, wie unsicher WhatsApp sei.

Natürlich könnten auch Zeitgenossen mit weniger hehren Absichten eine solche Seite erstellen. «Das ist relativ einfach, wenn man weiss, wie man mit den Servern von WhatsApp kommunizieren kann», sagt App-Experte Martin Schawalder von der Softwarefirma iAgentur. Klar sei, dass der Kurznachrichtendienst mit Hochdruck an weiteren Sicherheitsmassnahmen arbeite, damit es für Angreifer nicht genügt, die Telefon- und Seriennummer zu haben.

WhatsApp warnt die Nutzer nicht

Auf die neuste Sicherheitslücke wird von Fachmedien schon seit mehreren Wochen hingewiesen. Statt den Dienst rasch abzusichern oder die Nutzer zumindest zu warnen, hüllt sich das US-Unternehmen in Schweigen. Anscheinend schickte WhatsApp gar seine Anwälte gegen den Entwickler los, der Funktionen zum Nutzen des Messengers via PC im Internet veröffentlichte. Der Autor hat den Quellcode, der das Senden von gefälschten Nachrichten über Webseiten ermöglicht, inzwischen aus dem Netz genommen, wie das deutsche Tech-Portal heise.de schreibt.

Nach wie vor lassen sich daher gefälschte Nachrichten über das Web an WhatsApp-Nutzer schicken. Die App vom Handy zu löschen, bringe keinen ausreichenden Schutz, schreibt das Tech-Portal. Wer an die Mac-Adresse/IMEI gelange, könne weiterhin Nachrichten mit dem Konto des Opfers senden. Sicherheit schaffen kann nur WhatsApp mit einem Update der App. Bis dahin haben Mobbing-Täter leichtes Spiel.

Fragen und Antworten rund um die Kommentar-Funktion
«Warum dauert es manchmal so lange, bis mein Kommentar sichtbar wird?»

Unsere Leser kommentieren fleissig - durchschnittlich gehen Tag für Tag 4000 Meinungen zu allen möglichen Themen ein. Da die Verantwortung für alle Inhalte auf der Website bei der Redaktion liegt, werden die Beiträge vorab gesichtet. Das dauert manchmal eben einige Zeit.

«Gibt es eine Möglichkeit, dass mein Beitrag schneller veröffentlicht wird?»

Wer sich auf 20 Minuten Online einen Account zulegt und als eingeloggter User einen Beitrag schreibt oder auf einen Kommentar antwortet, der wird vorrangig behandelt. Hat ein eingeloggter User bereits viele Kommentare verfasst, die freigegeben wurden, so werden seine neuen Beiträge mit oberster Priorität behandelt.

«Warum wurde mein Kommentar gelöscht?»

Womöglich wurde der Beitrag in Dialekt verfasst. Damit alle deutschsprachigen Leser den Kommentar verstehen, ist Hochdeutsch bei uns Pflicht. Sofort gelöscht werden Beiträge, die Beleidigungen, Verleumdungen oder Diffamierungen enthalten. Auch Kommentare, die aufgrund mangelnder Orthografie quasi unlesbar sind, werden das Licht der Öffentlichkeit nie erblicken. (oku)

«Habe ich ein Recht darauf, dass meine Kommentare freigeschaltet werden?»

20 Minuten ist nicht dazu verpflichtet, eingehende Kommentare zu veröffentlichen. Ebenso haben die kommentierenden Leser keinen Anspruch darauf, dass ihre verfassten Beiträge auf der Seite erscheinen.

Haben Sie allgemeine Fragen zur Kommentarfunktion?

Schreiben Sie an feedback@20minuten.ch
Hinweis: Wir beantworten keine Fragen, die sich auf einzelne Kommentare beziehen.

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Deshalb können Storys, die älter sind als 2 Tage, nicht mehr kommentiert werden. Wir bitten um Verständnis.

Ausgewählte Leser-Kommentare

Vielleicht ist es hier einigen egal, wenn ihre Nachrichten gelesen werden können, jedoch finde ich es ziemlich erschreckend, dass der Hacker von meinem Konto aus Nachrichten an meine Kontakte senden könnte. Der könnte den grössten Quatsch herumsenden. Unter anderem auch Nacktfotos z.B. aus dem Internet etc. Ich bin froh, habe ich WhatsApp nicht installiert. Bin bei Orange und zahle im Monat 10 Franken für unlimitiert SMS und Telefonieren. Das ist perfekt und sicher:-) – Sandy

manche denken hier es gehe primär um ausspionierung ihrer handys. es geht darum das jemand euer konto benutzt und in eurem namen daten überträgt. zb könnte jemand ein verbotenes foto, ja das gibt es, an die polizei oder sonst wen senden. dann prost! auch wenn du irgendwie deine "unschuld" beweisen könntest, hängen bleibt immer was und du wirst zum beispiel als kinderschänder dargestellt. das wiederum kann durchaus dazu führen das du früher abdankst. – mani pulation

Die, die sagen, das es doch sowieso niemanden interessiert was ich mit Freunden schreibe. Mag sein dass das niemanden interessiert aber mit diesem "Hack" kann man ohne Probleme euren Kontakten schreiben sofern ihr die Nummer vom Kontakt habt oder der Kontakt euch gerade zufällig anschreibt. Also kann man zb. eure Kontakte beleidigen etc. Man kann damit einem Menschen sehr viel Schaden zubereiten. Zb. indem man eure Mitarbeiter beleidigt oder eure Freundin etc. Ich hab es gerade probiert und es klappt wirklich, man kann mit den Kontakten schreiben. – Moritz B.

Die neusten Leser-Kommentare

  • Joël am 27.09.2012 23:44 Report Diesen Beitrag melden

    SMS noch unsicherer

    man kann auch mit jedem beliebigen Absender SMS versenden. Es geht bei Anwendungen wie WhatsApp um die Einfachheit der Kommunikation, nicht um die Sicherheit. Und bei den Leuten die im Zug telefonieren, ist ja auch nicht das Problem, dass das Telefon abgehört werden kann, sondern, dass alle im Wagen mithören....

  • Manuel Humbel am 27.09.2012 18:34 via via Mobile Report Diesen Beitrag melden

    Antwort

    WhatApp ist übrigens auch über Wlan Gratis! Und ja WhatsApp ist sehr bekannt!

  • Onkel Jürgen am 27.09.2012 15:28 Report Diesen Beitrag melden

    noch nie gehört...

    was ist den WhatsApp? habe ich da was verpasst

  • Martin am 27.09.2012 14:53 Report Diesen Beitrag melden

    Hackerhilfe

    Vielen Dank an 20Minuten für die Hackeranleitung. Es ist doch wirklich gut, dass nun jeder weiss, wie man so etwas macht. Bis jetzt waren es Profis, die solche Sachen wohl meist aus Neugier heraus fanden und damit nicht viel oder mindestens nichts kriminelles anfingen. Nun ist jeder Depp dazu fähig. Wirklich gut gemacht...

    • Armin S. am 27.09.2012 18:43 Report Diesen Beitrag melden

      genau,

      so ist es

    • M.R. am 28.09.2012 10:41 Report Diesen Beitrag melden

      haha

      Genau habe ich auch gedacht.

    einklappen einklappen
  • Pirmin Bieri am 27.09.2012 13:43 Report Diesen Beitrag melden

    unnötig

    Grundsätzlich kann alles gehackt werden, es ist nur eine Frage des Aufwands den man zu betrieben hat. Dass nun jemand eine Benutzerfreundliche Plattform dafür einrichtet, das ist wirklich nicht nötig. Sicherheitslücken hin oder her, ein 0815 User wäre ohne diese Website nie auf die Idee gekommen, das Profil einer anderen Person auszunutzen.