Viele Smartphone-User benutzen häufig Messaging-Apps wie facebook oder WhatsApp als SMS-Alternative. Bei WhatsApp dachte man bisher, dass die Kommunikation über die App mit anderen Benutzern sicher sei. Immerhin muss man sich bei dem Dienst mit seiner mobilen Nummer registrieren. Nun allerdings wurde bekannt, dass sich über ein WLAN verschickte Nachrichten und Dateien im Klartext übertragen werden und sich dadurch auf eine einfache Weise mitlesen lassen.

Dies ermöglicht die App „WhatsAppSniffer“, die bis gestern früh kostenlos im Google Play Store oder Android Market erhältlich war. Mittlerweile wurde die App aber durch Google aus dem Angebot entfernt. Die App benötigt lediglich ein gerootetes Smartphone und Zugriff auf das zu „beschnüffelnde“ WLAN-Netzwerk.

In einem kleinen Test, den ich mit meinem Smartphone (LG GT540, offizielles Android 2.1 mit Root) und dem Smartphone meiner Schwester (Huawei Ideos X3, quasi im Werkszustand) bewerkstelligte, untersuchte ich die Funktionsfähigkeit der App. Beide Geräte waren im selben WLAN (mit dem Internet verbunden und mit WPA2 gesichert) und auf meinem Gerät war der WhatsAppSniffer installiert. Auf meinem Smartphone war zu diesem Zeitpunkt kein WhatsApp installiert. Das Ergebnis habe ich mal gegenübergestellt; links die von mir verschickten Nachrichten, rechts das Protokoll der Schnüffel-App:

Zunächst lässt sich erkennen, das jegliche Inhalte protokolliert wurden, hier in der Reihenfolge: Text, Aktuelle Position, Foto, das sich im Übrigen trotz https problemlos an meinem Smartphone öffnen lies, und eine digitale Visitenkarte. Gerade das Übertragen der aktuellen GPS-Position und von – möglicherweise privaten – Fotos im Klartext kann für Späher natürlich sehr interessant sein.

Meine Schwester war von den Testergebnissen sehr überrascht, eher schockiert, und bat mich umgehend die App wieder zu deinstallieren. Dies habe ich auch mittlerweile getan. Ich vertraue meinen Mitmenschen und deswegen verbiete ich es mir, andere – womöglich größtenteils irrelevante – WhatsApp-Nachrichten auszuspionieren.

Nehmen wir aber mal den worst case an: Man würde über das WLAN eines Cafés per WhatsApp mit Freunden schreiben. Der Nutzer des WhatsAppSniffer würde innerhalb kürzester Zeit Gemütszustand, Absichten, besondere Vorlieben, genaue GPS-Position der Person im Café und vielleicht sogar die Adresse der Person wissen. Die Person würde nie etwas davon erfahren. Man kann nur hoffen, dass sich keine falschen Menschen mit dieser App einlassen. Aber auch die Benutzer bon WhatsApp können etwas gegen die mögliche Kontrolle tun: Sie sollten aufpassen, wo sie ihre privaten Mitteilungen verschicken. Im WLAN zuhause ist dies noch relativ sicher, da hierzu nur Wenige (hoffentlich keine IT-Runde-Leser 😉 ) Zugang haben. In öffentlichen Hotspots in Cafés, Restaurants oder Hotels sollte man aber die Benutzung von WhatsApp vermeiden. Zwar ist die App nicht mehr im offiziellen Google-Angebot, aber sie lässt sich trotzdem sehr einfach per Internetsuche beschaffen. Die Übertragung über das Mobilfunknetz bleibt weiterhin sicher. Übrigens ist das Abhören von WLAN-Netzwerken in Deutschland strafbar.

Eine gute Nachricht ist, das empfangene Nachrichten nicht protokolliert werden. So ist zumindest gewährleistet, dass sich kein komplettes Gespräch nachvollziehen lässt. Übrigens lassen sich mit der App auch Nachrichten von iOS- und Symbian-Geräten empfangen. Blackberry-User sind laut androidpolice außen vor. Ob das Problem auch bei Windows Phone besteht, konnte ich noch nicht herausfinden. Es bleibt zu hoffen, dass die Entwickler das Problem mit einem Update schnellstmöglich auf allen Plattformen beheben.

Zwar ist hinlänglich bekannt, dass man über drahtlose Netzwerke Informationen mitschneiden kann, dass dieses Phänomen aber nicht nur Websites ohne SSL-Verschlüsselung, sondern auch die populäre App betrifft, ist neu. Neu ist auch, dass nun jeder Android-Benutzer, der sein Gerät mit einem Root inkl. Busybox versehen hat, kinderleicht die versendeten Nachrichten lesen kann. Die Sniffing-App ist sehr leicht zu bedienen, es gibt nur „Start“ und „Stop“.

Uns interessiert eure Meinung: Bleibt ihr bei WhatsApp? Wäre es schlimm für euch, wenn eure Kommunikation über die App öffentlich werden würde?

Tweet