WhatsApp für Android: Details zur Sicherheitslücke durch das Chatverlauf-Backup

Seit dem gestrigen Abend verbreitet sich eine Meldung zum mobilen Messenger WhatsApp wie ein Lauffeuer, denn es geht mal wieder um das Thema Sicherheit.

Bas Bosschert, der CTO vom IT-Unternehmen Double Think, hat in seinem Blog einige Details dazu veröffentlicht, wie leicht es möglich wäre, das Backup des Chatverlaufs von WhatsApp für Android abzugreifen. Er zeigt Wege auf, wie man eine Android-App so programmieren kann, dass sie die Daten vom SD-Speicher des Android-Gerätes liest und diese auf den Server eines Angreifers lädt, zudem zeigt er auf, wie einfach die Entschlüsselung der Datei wäre. Der Nutzer wurde durch eine eingespielte Lade-Meldung nichts von alledem mitbekommen.

Klingt erstmal unschön, so einfach ist es aber nicht. Zunächst bleibt festzuhalten, dass die „Lücke“ auf keinen Fall neu ist und so mittlerweile auch nicht mehr besteht. Im Grunde hat Herr Bosschert sie nur neu verpackt und das reizt die Medien anscheinend. Bereits seit April 2012 (!) gibt es mit Whatsapp Xtract ein Tool, welches die lokalen Backup-Dateien von WhatsApp in lesbare Inhalte umwandeln. Dies war keinesfalls dafür gedacht Schaden anzurichten, sondern viele Nutzer wünschten sich das, um lokal ihre Nachrichtenverläufe einsehen zu können.

Den Entschlüsselungs-Algorithmus von Whatsapp Xtract nutzt Bosschert nun, um das Backup in das SQLite3-Format umzuwandeln, welches dann mit Excel und Co. betrachtet werden kann. Obwohl der entsprechende Blogbeitrag von gestern ist, wird leider nicht erwähnt, dass WhatsApp aktuell (und das nicht erst seit dem letzten Update) die Verläufe als .db.crypt5-Datei sichert. Seine Experimente hat Bosschert anscheinend mit einer älteren Version von WhatsApp durchgeführt, bei der das nicht der Fall war. Diese können mit dem Entschlüsselungs-Algorithmus von Whatsapp Xtract eben nicht umgewandelt werden, wie auch seit einigen Tagen in Foren zu lesen ist. Komplett außer Acht wird zudem gelassen, dass seit Android 4.4 KitKat der Zugriff auf fremde App-Verzeichnisse eingeschränkt wurde, was bereits zum Unmut so mancher Nutzer geführt hat.

Es bleibt also festzuhalten, dass die Möglichkeit der Entschlüsselung des lokalen WhatsApp-Backups bestand und für ältere Backups unter nicht aktueller Android-Version eventuell noch möglich ist. Aktuell ist die Sicherheitslücke durch das Chatverlauf-Backup nicht so vorhanden, wie man bei dem ein oder anderen Medienbericht denken könnte.

Um solchen Angriffen vorzubeugen sind im Allgemeinen folgende Dinge zu beachten:

• Installiert die neuste WhatsApp-Version nur über Google Play oder whatsapp.com/android/
• Wenn verfügbar, spielt Systemupdates in euer Smartphone zeitnah ein
• Installiert Apps, wenn möglich, generell nur über Google Play und nicht aus fremden Quellen. Hier sind vor allem modifizierte APK-Dateien ein Sicherheitsrisiko.
• Solltet ihr externe Apps installieren, gestattet dem System die Überprüfung der Apps (Aufforderung sollte bei neueren Android-Versionen automatisch erscheinen)
• Theoretisch könnt ihr das Backup jederzeit von der SD-Karte löschen, es liegt einfach im Ordner /whatsapp/, angefertigt wird es jeweils in der Nacht um 4:00 Uhr

[appbox googleplay com.whatsapp]

[embedly