frank19641710
Aktives Mitglied
Thread Starter
- Dabei seit
- 07.05.2007
- Beiträge
- 328
- Reaktionspunkte
- 31
Zuletzt bearbeitet:
Aufgepasst !!! Sicherheitslücke bei whatsapp...
- Ersteller frank19641710
- Erstellt am
Amadeus_SBG
Aktives Mitglied
- Dabei seit
- 16.05.2005
- Beiträge
- 1.250
- Reaktionspunkte
- 52
Was bedeutet hierbei "Eine App namens WhatsApp S*** machte sich die Lücke zunutze und ermöglichte es jedermann, empfangene und verschickte WhatsApp-Nachrichten im gleichen Netzwerk mitzulesen." - öffentliches WLAN?
Hm.. steht zumindest weiter unten. Aber wer nutzt denn WhatsApp auch in öffentlichen Zugängen? Wer nutzt überhaupt mit dem iPhone öffentliche WLAN-Hotspots? Das wär mir zu riskant.
Hm.. steht zumindest weiter unten. Aber wer nutzt denn WhatsApp auch in öffentlichen Zugängen? Wer nutzt überhaupt mit dem iPhone öffentliche WLAN-Hotspots? Das wär mir zu riskant.
frank19641710
Aktives Mitglied
Thread Starter
- Dabei seit
- 07.05.2007
- Beiträge
- 328
- Reaktionspunkte
- 31
sorry..hab ich dann auch gesehen als es schon on war..
empreality
Aktives Mitglied
- Dabei seit
- 08.07.2007
- Beiträge
- 2.981
- Reaktionspunkte
- 452
Die Frage dürfte eher lauten: Wer macht sowas nicht ?!?!
Ich z.B.
Amadeus_SBG
Aktives Mitglied
- Dabei seit
- 16.05.2005
- Beiträge
- 1.250
- Reaktionspunkte
- 52
Ich mache sowas nicht.. Paßwörter, Emails und sonstigen Datenverkehr über ein offenes WLAN? Nee, nicht mein Fall..
TheMaJa
Aktives Mitglied
- Dabei seit
- 07.04.2009
- Beiträge
- 298
- Reaktionspunkte
- 51
Selbst wenn man WhatsApp nicht in offenen WLANs nutzt, möchte ich mir - bei den Dingen, die inzwischen über deren Sicherheitsphilosophie bekannt sind - lieber nicht vorstellen, wie es auf den Servern aussieht. Bin schon ein wenig froh, im Frühjahr komplett auf iMessages umgestiegen zu sein.
Hausbesetzer
Aktives Mitglied
- Dabei seit
- 10.09.2008
- Beiträge
- 10.816
- Reaktionspunkte
- 2.834
Naja in Zeiten von Fritz.Box und co kann ja jeder mit ein paar Klicks ein VPN nach Hause aufbauen
gähn
Dazu muss ich in keinem öffentlichen WLAN sein. Dazu muss ich nur an einem Knoten hängen, wo viele Daten durchlaufen.
Warum nicht?
Ja, und? Emails gehen über IMAPS. Passwörter gehen auch überall über HTTPS und IMAPS. Ja, und nu?
Wie gesagt, was hat das mit offenem WLAN zu tun? Sobald ich Zugriff auf den richtigen Knotenpunkt habe, habe ich die Daten auch so. Deswegen gleich von Anfang an ordentliche Ende-zu-Ende-Verschlüsselung.
Alles andere ist Security by Obscurity und keine wirkliche Security.
PS: Whats-App nutzt ein modifiziertes Jabber-Protokoll. Das ist bekannt. Der Authentifizierungsfehler ist auch bekannt: Bei Android ist es die IMEI Rückwärts ohne Salt <http://samgranger.com/whatsapp-is-using-imei-numbers-as-passwords/>. Bei iPhone wurde noch etwas gerätselt.
Hausbesetzer
Aktives Mitglied
- Dabei seit
- 10.09.2008
- Beiträge
- 10.816
- Reaktionspunkte
- 2.834
SSL ist schon lange kaputt (schon immer wenn man das kaputte Design dazuzählt)
Ist quasi das "WEP" unter den Websicherheitsmechanismen.
Solange Du nicht jedesmal mit der Hand des Fingerprint vergleichst, bringt Dir HTTPS überhaupt nix
Ja, schon klar. X.509 ist inzwischen broken by design und ohne DNSSEC sowieso. Aber immer noch das Beste was wir haben.
Amadeus_SBG
Aktives Mitglied
- Dabei seit
- 16.05.2005
- Beiträge
- 1.250
- Reaktionspunkte
- 52
Was bedeutet in diesem Fall "im selben Knoten"? Bzw an "einem Knoten, an dem viele Daten durchlaufen"?
Mit Knoten meine ich die Datenübergabepunkte zwischen den Carriern.
Lange Zeit waren die Router im Backend bei den großen Carriern komplett ohne Passwörter geschützt. Die BGR-Daten wurden (werden?) auch nicht wirklich verifiziert, weshalb sich im Backend jeder Traffic beliebig umleiten lässt. Du als Endanwender kommst da natürlich nicht so leicht rein. Aber einmal im Backend drin und es gibt keine Barrieren mehr.
Deswegen: nur Ende-zu-Ende-Verschlüsselung. Dann ist mir vollkommen wurscht was dazwischen ist.
Lange Zeit waren die Router im Backend bei den großen Carriern komplett ohne Passwörter geschützt. Die BGR-Daten wurden (werden?) auch nicht wirklich verifiziert, weshalb sich im Backend jeder Traffic beliebig umleiten lässt. Du als Endanwender kommst da natürlich nicht so leicht rein. Aber einmal im Backend drin und es gibt keine Barrieren mehr.
Deswegen: nur Ende-zu-Ende-Verschlüsselung. Dann ist mir vollkommen wurscht was dazwischen ist.
Amadeus_SBG
Aktives Mitglied
- Dabei seit
- 16.05.2005
- Beiträge
- 1.250
- Reaktionspunkte
- 52
Praktisch bedeutet dies aber doch, dass jemand ganz gezielt auf den Datenübergabepunkt Zugriff bekommen muss, dann noch meine Mobilnummer und die MAC meines iPhones rausfinden muss um meine WhatsApp-Nachrichten zu lesen, oder?! Oder wie muss ich mir den Datenübergabepunkt vorstellen? Denn in dem Fall, ist die reale "Bedrohung" doch verschwindend gering, bzw. der Aufwand viel zu hoch um hier etwas abzugreifen; vor allem gezielt die Nachrichten eines bestimmten Users abzugreifen..
Hausbesetzer
Aktives Mitglied
- Dabei seit
- 10.09.2008
- Beiträge
- 10.816
- Reaktionspunkte
- 2.834
Oder er ist im selben WLAN, oder er ist in einem Radius von 50 Metern um dich oder oder oder
Die Bedrohung ist genauso verschwindend gering wie in jedem offenen WLAN. 
In den offenen WLANs sind eh nur Scriptkiddies unterwegs, die glauben cool zu sein und denen die Daten im Endeffekt auch egal sind. Keiner setzt sich professionell an ein offenes WLAN wo er maximal eine Handvoll Daten abfischen kann. Wenn dann schon richtig wo auch Daten durchgehen. Über einzelne offene WLAN dauert es ewig an 12 Mio. UUIDs zu kommen.
Ansonsten: Login und Passwort gehen doch eh unverschlüsselt über die Leitung. Da ist es mir egal, ob Dein Passwort ein MD5 aus der WLAN MAC-ID ist oder woher auch immer.
In den offenen WLANs sind eh nur Scriptkiddies unterwegs, die glauben cool zu sein und denen die Daten im Endeffekt auch egal sind. Keiner setzt sich professionell an ein offenes WLAN wo er maximal eine Handvoll Daten abfischen kann. Wenn dann schon richtig wo auch Daten durchgehen. Über einzelne offene WLAN dauert es ewig an 12 Mio. UUIDs zu kommen.
Ansonsten: Login und Passwort gehen doch eh unverschlüsselt über die Leitung. Da ist es mir egal, ob Dein Passwort ein MD5 aus der WLAN MAC-ID ist oder woher auch immer.
Amadeus_SBG
Aktives Mitglied
- Dabei seit
- 16.05.2005
- Beiträge
- 1.250
- Reaktionspunkte
- 52
Na ja, das ist ja schon ein Unterschied.. im gleichen WLAN geht ja nur, wenn ich entweder ein offenes nutze oder er Zugang zu meinem WLAN hat. 50 Meter um mich herum ist ja wieder eine andere Nummer, da ist die Möglichkeit aber doch gar nicht gegeben die Daten abzufangen, oder? Dann wäre die "Gefahr" ja tatsächlich nicht unerheblich - das ist nach meinem bisherigen Verständnis der Sache aber nicht möglich (also Nummer, MAC und Übergabepunkt). Und "oder oder oder" ist mir zu diffus..
Mir gehts um die technische Betrachtung.. was ich über WhatsApp verschicke ist ohnehin überschaubar (aber nicht für jeden einsehbar).
Hausbesetzer
Aktives Mitglied
- Dabei seit
- 10.09.2008
- Beiträge
- 10.816
- Reaktionspunkte
- 2.834
Naja, das Mobilfunknetz nutzt auch elektromagnetische Wellen - und die fliegen sehr weit und auch durch Dinge durch
50 Meter herum ist eine andere Nummer. *lol*
Dir ist schon klar, dass man selbst Bluetooth, was ja nur ach so wenige Meter reicht, schon aus Kilometerentfernung abgehört hat?
Wer das Internet als sicher akzeptiert nur, weil sein eigener Übergabepunkt vermeintlich sicher ist, hat nichts kapiert und dem ist echt nicht mehr zu helfen.
Wem klar ist, dass das Internet unsicher ist, dem ist auch die Sicherheit des Übergabepunktes egal, weil er alles gleich behandelt.
Dir ist schon klar, dass man selbst Bluetooth, was ja nur ach so wenige Meter reicht, schon aus Kilometerentfernung abgehört hat?
Wer das Internet als sicher akzeptiert nur, weil sein eigener Übergabepunkt vermeintlich sicher ist, hat nichts kapiert und dem ist echt nicht mehr zu helfen.
Wem klar ist, dass das Internet unsicher ist, dem ist auch die Sicherheit des Übergabepunktes egal, weil er alles gleich behandelt.