Gravierende Schwachstellen in Kurznachrichtendiensten für Smartphones gefunden
Smartphone-Applikationen zum Versenden von kostenlosen Kurznachrichten erfreuen sich auch in Österreich zunehmender Beliebtheit, allen voran WhatsApp, das auf bereits mehr als 180 000 Smartphones in Österreich installiert ist. Die einfache Konfiguration – das Anlegen eines Benutzerkontos ist nicht erforderlich – trägt einerseits zu dieser rasanten Verbreitung bei, andererseits sorgt dieses Konzept auch für gravierende Schwachstellen wie aktuelle Forschungsarbeitendes Wiener IT-Sicherheitskompetenzzentrums SBA Research zeigt.
Von neun getesteten Applikationen für iPhone und Android konnte keine einzige restlos überzeugen und die teils gravierenden Sicherheitslücken, welche die Privatsphäre der Nutzer gefährden, überraschten selbst die Sicherheitsforscher von SBA Research. So konnten etwa Benutzerkonten mühelos übernommen werden und in weiterer Folge Nachrichten dieser Nutzer empfangen und gesendet werden. Auch gelang es den Forschern, die Status-Nachrichten aller WhatsApp-Nutzer von ganz Österreich auszulesen und sogar zu verändern. Sicherheitsspezialist Peter Kieseberg erklärt: “Nutzern ist nicht klar, dass diese Systeme ein viel niedrigeres Sicherheitsniveau haben als Dienste, die direkt vom Netzbetreiber zur Verfügung gestellt werden – wie etwa SMS. Sie geben durch die Nutzung dieser neuen Kurznachrichtendienste sensitive Informationen unbewusst der Öffentlichkeit preis. Wer würde annehmen, dass ein Statustext den eigentlich nur die eigenen Kontakte sehen können, durch einen einfachen Trick von jedermann abgerufen werden kann?”.
Der Hersteller von WhatsApp konnte bereits einige der Sicherheitslücken schließen, andere Schwachstellen existieren jedoch nach wie vor. Die Ergebnisse der Sicherheitsanalyse werden Anfang Februar auf der renommierten IT-Sicherheitskonferenz NDSS in San Diego, USA präsentiert.
Kontakt:
SBA Research
Peter Kieseberg (pkieseberg@sba-research.org, +43 660 3126291)
SBA Research ist ein Forschungsinstitut für Informationssicherheit mit Sitz in Wien. Die Tätigkeit von SBA Research konzentriert sich auf organisatorische und technische Aspekte der Informationssicherheit. Schwerpunkte sind Governance, Risk and Compliance, Datenschutz und Schutz der Privatsphäre, Sicherheit in der Softwareentwicklung und Hardware- und Netzwerksicherheit. SBA Research beschäftigt mehr als 80 Mitarbeiter.