Home / Allgemein / WhatsApp: Unsicher trotz Verschlüsselung

WhatsApp: Unsicher trotz Verschlüsselung

Trotz Ende-zu-Ende-Verschlüsselung kommt es bei WhatsApp zu erheblichen Sicherheitsproblemen. Forscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC haben herausgefunden, dass vor allem bei Android-Geräten Mediendateien wie Bilder, Dokumente und Sprachnachrichten lediglich für die Übertragung von einem Gerät auf das andere verschlüsselt sind. Beim Empfänger werden die Daten entschlüsselt und in einem ungeschützten Bereich auf dem Gerät gespeichert, sodass Apps darauf zugreifen und die Daten beispielsweise an andere Geräte weitergeleitet werden können.

Während über WhatsApp gesendete Textnachrichten verschlüsselt auf der SD-Karte gespeichert werden, gilt dieser Schutz nicht in gleichem Maß für Bilder, Videos, Sprachnachrichten und Dokumente: WhatsApp für Android speichert sowohl empfangene, als auch gesendete Mediendaten unverschlüsselt auf der SD-Karte und zwar in einem ungeschützten Bereich.

Einsatz im Unternehmensumfeld ist kritisch

„Das Problem ist, dass Daten auf der SD-Karte auch für andere Apps zugänglich sind. Jede App, die Zugriff auf die SD-Karte hat, kann alle dort gespeicherten Mediendaten auslesen, löschen oder manipulieren“, so Dr. Julian Schütte, Abteilungsleiter Service & Application Security am Fraunhofer AISEC. Unter diesen Umständen ist WhatsApp als Kommunikationsdienst für den Einsatz im Unternehmensumfeld problematisch, weil das Sicherheitsrisiko ohne den Einsatz weiterer Schutzmaßnahmen zu groß ist, so Schütte weiter.

Sichere Lösung ware technisch möglich

Aus Sicht der Mobile Security-Experten um Dr. Schütte wäre eine sichere Lösung dieses Problems technisch einfach umzusetzen: Durch eine Verschlüsselung der Mediendaten auf der SD-Karte oder das Speichern der Mediendaten im geschützten Bereich der WhatsApp-Anwendung. So könnten die Nutzerdaten gegen Auslesen und Modifikation geschützt werden. Derzeit kann jede App mit der Berechtigung „READ_EXTERNAL_STORAGE“ die vom WhatsApp Messenger auf der SD-Karte gespeicherten Mediendaten auslesen und z.B. an einen Server versenden.

Erhält die App zudem noch die Berechtigung „WRITE_EXTERNAL_STORAGE“, kann sie die Mediendaten sogar manipulieren, noch bevor der Benutzer diese öffnet. Um dies zu verdeutlichen, haben die Sicherheitsforscher mittels einer einfachen App empfangene Bilder auf dem Android-Gerät noch vor dem Öffnen durch den Empfänger gezielt manipuliert. „Mediendaten und Dokumente, die über WhatsApp empfangen werden, sind weder vertraulich noch vertrauenswürdig. Man muss davon ausgehen, dass andere Apps sie auslesen und versenden können oder unbemerkt ihre Inhalte verändern“, so Schütte.

Über 70 Prozent der Apps haben Zugriff auf WhatsApp-Mediendaten

Die AISEC-Forscher analysierten mehr als 16.000 der beliebtesten Apps im Google Play Store und stellten fest, dass ein Großteil über die Berechtigung verfügt, auf den ungeschützten Speicher zuzugreifen, der von WhatsApp genutzt wird. Vor allem Backup- oder „Cleaner“-Tools greifen explizit auf die WhatsApp-Mediendaten zu. Was diese Apps jedoch genau mit den WhatsApp-Daten machen, wurde bislang nicht weiter untersucht. Von 16.764 untersuchten Apps aus dem Play-Store haben 71 Prozent (11.914 Apps) die Berechtigung „READ_EXTERNAL_STORAGE“ und 69,8 Prozent (11.696 Apps) haben die Berechtigung „WRITE_EXTERNAL_STORAGE“.

Vom WhatsApp-Einsatz auf Android-Geräten raten die Forscher dennoch nicht grundsätzlich ab, weisen aber auf einen vorsichtigen Umgang im Unternehmenskontext hin: „Es ist wichtig zu verstehen, dass eine verschlüsselte Verbindung allein noch keine Sicherheit garantiert, wenn die Daten auf dem Endgerät ungeschützt sind“, erklärt Schütte.

Gezielte Manipulation – hier im Video verdeutlicht:

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

*