Die Sicherheitsprobleme rund um das Messenger-Tool "WhatsApp" reißen nicht ab. Es ist, wie heise Security herausgefunden hat, nach wie vor möglich, mit wenig Mühe das Konto anderer Benutzer zu übernehmen und in ihrem Namen Nachrichten zu verschicken.

Kontoübernahme per IMEI, Rufnummer und Skript

Zwar ist mit der jüngsten Version für Android, 2.8.7326, mit der unter anderem Abogebühren eingeführt wurden, bereits eine bekannte Lücke geschlossen worden, doch eine andere besteht immer noch. Per Skript lässt sich aus der IMEI des Smartphones des Nutzers und seiner Rufnummer jenes Passwort generieren, mit dem sich WhatsApp auf den eigenen Servern anmeldet.

Die gleiche Methode funktioniert auch mit der Vorversion für iOS, es gilt als wahrscheinlich, dass auch die jüngste Fassung betroffen ist. Der Versuch von heise, mit dem WhatsApp-Team Kontakt aufzunehmen, scheiterte am Mangel der Rückmeldung. Lediglich einmal erhielt man eine Antwort-Mail, in der man sich nach der von der Lücke betroffenen Version des Programms erkundigte. Abgesehen davon blieben diverse Anfragen monatelang (und nach wie vor) unbeantwortet.

Umstieg empfohlen

Angesichts des bisherigen Vorgehens des Unternehmens in Sicherheitsfragen rät heise Security nun dazu, von der Verwendung von WhatsApp abzusehen. Stattdessen sollten User auf andere Messenger bzw. soziale Netzwerke umsteigen oder auf E-Mails und SMS zurückgreifen. (red, derStandard.at, 29.11.2012)