Noch eine Lücke 06.03.2017, 12:49 Uhr

Trotz Verschlüsselung: Bei WhatsApp können Hacker kinderleicht mitlesen

Oh je: WhatsApp speichert Bilder, Dokumente und Sprachnachrichten nach der verschlüsselten Übertragung in einem ungeschützten Bereich des Android-Smartphones. 11.914 Apps aus dem Google Play Store haben Zugriff auf die Daten. Paradiesische Zustände für Hacker. 

Da weint der Datenschützer: Bilder, Videos und Dokumente, die User über WhatsApp verschicken, sind alles andere als sicher. 

Da weint der Datenschützer: Bilder, Videos und Dokumente, die User über WhatsApp verschicken, sind alles andere als sicher. 

Foto: Julian Stratenschulte/dpa

Paul verschickt über WhatsApp ein Foto von seiner feuchtfröhlichen Partyrunde an einen Kollegen. Dabei wähnt er sich in Sicherheit – schließlich bietet der Messenger eine sogenannte Ende-zu-Ende-Verschlüsselung zwischen den Smartphones. Doch Pustekuchen. Hacker haben leichtes Spiel, die Fotos von Paul in die Finger zu bekommen. 

Der Grund: Während der Messenger Textnachrichten verschlüsselt auf der SD-Karte speichert, landen Bilder, Videos, Sprachnachrichten und Dokumente in einem ungeschützten Bereich der SD-Karte. „Das Problem ist, dass Daten auf der SD-Karte auch für andere Apps zugänglich sind“, erklärt Julian Schütte, Abteilungsleiter Service & Application Security am Fraunhofer Institut AISEC. „Jede App, die Zugriff auf die SD-Karte hat, kann alle dort gespeicherten Mediendaten auslesen, löschen oder manipulieren.“

11.914 Apps dürfen Bilder und Videos auslesen

Auf Android-Smartphones haben eine Menge Apps Zugriff auf die WhatsApp-Daten, haben die AISEC-Forscher bei der Untersuchung von 16.764 der beliebtesten Apps im Google Play Store festgestellt. 71 % (11.914 Apps) haben die Berechtigung „WRITE_EXTERNAL_STORAGE“, mit der sie Mediendaten auslesen dürfen und zum Beispiel an einen Server versenden könnten.

Der Tipp von WhatsApp, um mehr Datensicherheit zu erreichen: Das Abspeichern von Mediendaten im Smartphone in den Einstellungen unterbinden. (Bildquelle: dpa) 

Der Tipp von WhatsApp, um mehr Datensicherheit zu erreichen: Das Abspeichern von Mediendaten im Smartphone in den Einstellungen unterbinden. (Bildquelle: dpa) 

Foto: Arno Burgi/dpa

69,8 % haben zudem die Berechtigung „WRITE_EXTERNAL_STORAGE“. Damit dürfen die Programme Mediendaten manipulieren – sogar, bevor der Benutzer diese öffnet. Es ist also möglich, dass eine böse App ein harmloses Bild von Paul überhaupt erst in ein Saufgelage verwandelt.

Kann sein Kollege überhaupt darauf vertrauen, was er sieht? Nein, sagt Schütte: „Mediadaten und Dokumente, die über WhatsApp empfangen werden, sind weder vertraulich noch vertrauenswürdig. Man muss davon ausgehen, dass andere Apps sie auslesen und versenden können oder unbemerkt ihre Inhalte verändern.“

Option „Speichere eingehende Medien“ deaktiveren

Die gute Nachricht: Eine Lösung des Problems ist technisch einfach umzusetzen. WhatsApp muss den Messenger einfach dahingehend verändern, dass auch Mediendaten im geschützten Bereich landen, um die über eine Milliarde User des Messenger-Dienstes zu schützen. Äußern wollte sich das Unternehmen zu der Einschätzung der Fraunhofer-Forscher übrigens nicht.

Auf Anfrage der Welt verwies WhatsApp lediglich auf die Option, das Abspeichern der Medieninhalte im Smartphone zu unterbinden. Dafür müsse man in den Einstellungen die Option „Speichere eingehende Medien“ deaktivieren. Die Medieninhalte stehen dann nur noch in den WhatsApp-Chats zur Verfügung. „Es ist wichtig zu verstehen, dass eine verschlüsselte Verbindung allein noch keine Sicherheit garantiert, wenn die Daten auf dem Endgerät ungeschützt sind“, so das Fazit von Schütte. 

Top Stellenangebote

infineon-Firmenlogo
infineon Prozessingenieur Löten (w/m) Warstein
VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.-Firmenlogo
VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V. Projektmanager (m/w) Innovationsmanagement & Research Frankfurt am Main, Berlin
über BriSS Personnel Recruitment-Firmenlogo
über BriSS Personnel Recruitment Leiter des Bereichs Rückbau kerntechnischer Anlagen NRW (m/w) Großraum Köln
Bundesministerium des Innern-Firmenlogo
Bundesministerium des Innern Leitung (m/w) des Bereichs "Geschäftsfeld Telekommunikationsüberwachung" München
MED-EL Medical Electronics-Firmenlogo
MED-EL Medical Electronics R&D Engineer (m/f) for Implant Development Innsbruck (Österreich)
Covestro-Firmenlogo
Covestro Scope Coordinator (m/w) Stillstandsplanung Dormagen
Glatt Systemtechnik GmbH-Firmenlogo
Glatt Systemtechnik GmbH Gruppenleiter Technische Dokumentation/ Technische Redaktion (m/w) Dresden
TOTAL-Firmenlogo
TOTAL Ingenieur (m/w) Bauweisen / Technik für Tankstellen Berlin
NordWestBahn GmbH-Firmenlogo
NordWestBahn GmbH Mitarbeiter Vertriebsentwicklung (m/w) Osnabrück
ARCADIS-Firmenlogo
ARCADIS Projektleiter (m/w) Kabeltiefbau verschiedene Standorte