Ergebnis 1 bis 20 von 20
  1. #1
    gulli:Redaktion
    Registriert seit
    Aug 2011
    Ort
    Düsseldorf
    Beiträge
    83
    Danksagungen
    3

    Standard Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Bereits länger sind die Schwachstellen in der populären Messenger-Anwendung Whatsapp bekannt. Durch sie lassen sich unbefugt Nachrichten in fremdem Namen verschicken und empfangen. Der Programmierer Sascha Gehlich hat nun einen Webclient programmiert und zeigt sich schockiert über zahlreiche offenen Lücken.

    zur News

  2. #2
    Mitglied Avatar von Potatohead
    Registriert seit
    Aug 2003
    Ort
    far far away...
    Beiträge
    688
    Danksagungen
    20

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Die Nachrichten werden aber schon verschlüsselt, nur noch die Sende- und Empfangsnummer sind sichtbar...

    Mfg...

  3. #3
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Hilft aber nichts wenn man sich mit der Nummer+MAC authentifiziert und somit die Nachrichten ganz normal unverschlüsselt abfangen kann und selber mit dem Account bzw der Nummer Nachrichten verschicken kann

  4. #4
    Mitglied
    Registriert seit
    Jul 2010
    Beiträge
    242
    Danksagungen
    0

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Zitat Zitat von docanonymous Beitrag anzeigen
    Eine andere altbekannte Schwachstelle der populären Messenger-Anwendung ist, dass Nachrichten unverschlüsselt im Netzwerk übertragen werden.s [/url]
    Meines Wissens wurden diese Schwachstellen unter IOs & WP schon behoben?

  5. #5
    Gesperrt
    Registriert seit
    Dec 2011
    Beiträge
    1.122
    NewsPresso
    1 (Talent)
    Danksagungen
    0

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Zitat Zitat von Maxmax- Beitrag anzeigen
    Meines Wissens wurden diese Schwachstellen unter IOs & WP schon behoben?
    Tja, da wurde wie immer bei gulli schlecht recherchiert

  6. #6
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Allerdings wird die Mobilnummer noch unverschlüsselt übermittelt. Somit hat man dann (zumindest beim eierphone) das was man braucht. MAC Adresse und die zum Account zugehörige Nummer.

  7. #7
    Mitglied
    Registriert seit
    Aug 2012
    Beiträge
    202
    Danksagungen
    0

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    und woher bekommste die adresse oder passende telefonnr? ausspionieren leicht gemacht ist weit übertrieben das hauptprob. ist immernoch an die daten ran zu kommen. und wenn ihr ehrlich seid ist es so irgendwie sicherer als ein username und passwort was man überall sonst benutzt

  8. #8
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Indem man einfach einen sniffer laufen lässt? Die Nummer kann man per Social Engineering raus bekommen, oder wenn sich das Ziel in einem Öffentlichen Wlan befindet, oder man sonst Zugang zum Wlan hat.Im Idealfall hat man die Nummer natürlich schon oder man geht ganz oldschool hin und fragt ob man die Nummer bekommt.

    Die MAC Adresse kann man ganz einfach mit einem Scanner bekommen ohne dass man selber in dem Netzwerk eingeloggt ist und dabei spielt es keine rolle ob das Wlan verschlüsselt ist oder nicht. Das Opfer muss ja nicht einmal in einem Wlan eingeloggt sein, es reicht auch schon wenn die wifi Schnittstelle auf dem Gerät aktiv ist und die MAC sendet bzw selber nach Netzwerken scannt.

    Es ist eben NICHT sicherer wie mit einem usernamen+passwort.

  9. #9
    Mitglied
    Registriert seit
    Jul 2007
    Beiträge
    593
    Danksagungen
    6

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    MAC-Adresse geht bspw. auch, wenn sich die Zielperson in deinem WLAN zum Surfen einloggt kann man später die Routerlogs aufrufen. Da das Gerät normalerweise auch einen Namen hat, dürfte es nicht schwer fallen denjenigen zu identifizieren. Dann brauchste auch keinerlei Software haben...

  10. #10
    Mitglied
    Registriert seit
    Aug 2012
    Beiträge
    202
    Danksagungen
    0

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    wenn es nicht sicherer ist, wiso wurden dann inzwischen millionen von accountaten geleaked mit deren hilfe kreditkarten misbraucht wurden, sachen auf namen bestellt wurden, andre accounts "gehackt" weil die daten gleich waren, usw. usf.? whatsapp war bisher unbetroffen. du bist am zug.

  11. #11
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Kreditkartendaten und insbesondere Zugangsdaten zu E-Mail-Konten sind für Angreifer auch um ein vielfaches interessanter als WhatsApp-Zugangsdaten oder -Konversationen, welche in aller Regel wohl maximal vergleichsweise belanglose private Daten enthalten, aus welchen sich kaum Profit schlagen lässt. Mit einem übernommenen E-Mail-Konto lässt sich hingegen nicht nur Spam verschicken, sondern es lassen sich in der Regel auch leicht weitere für den Angreifer interessante Konten über die Passwort-vergessen-Funktion übernehmen.


    Ich will keineswegs bestreiten, dass es grob fahrlässig ist, dieselben Zugangsdaten (Benutzername, E-Mail-Adresse und Passwort) für verschiedene Dienste/Websites zu nutzen. Wer das dennoch tut, muss auch damit rechnen, dass eine einzelne kompromittierte Website dazu führt, dass gleich mehrere seiner Benutzerkonten übernommen werden.
    Es ist allerdings keinesfalls besser, aufgrund einiger Nutzer, welche fahrlässig handeln und damit in aller Regel bloss sich selbst gefährden, anstelle von Benutzernamen und Passwort für alle Benutzer zwangsweise öffentlich zugängliche Informationen wie Mobiltelefonnummer oder MAC-Adresse zur Authentifizierung zu verwenden (welche zudem nur eine sehr geringe Entropie aufweisen). Besser wäre, auf die Problematik hinzuweisen - oder bei der Anmeldung gleich ein zufälliges, sicheres Passwort für den Benutzer zu generieren.

  12. #12
    Mitglied
    Registriert seit
    Aug 2012
    Beiträge
    202
    Danksagungen
    0

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    was nix daran ändert das es ja so einfach sein soll und die vergangenheit hat ja gezeigt das es denen scheiße egal ist was sie leaken solang sie was leaken.

  13. #13
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Zitat Zitat von ponal Beitrag anzeigen
    was nix daran ändert das es ja so einfach sein soll
    Ein automatisch erzeugtes, starkes, auf dem Gerät gespeichertes Passwort wäre für den Benutzer ebenso simpel. Er müsste das Passwort weder kennen noch eingeben, sofern er sein Gerät nicht wechselt. Alternativ könnte ein vom Server signiertes Client-Zertifikat zur Authentifizierung verwendet werden, ohne dass sich für den Benutzer sichtbare Unterschiede ergeben. Potentiell öffentlich bekannte Informationen - dazu zählen die IMEI und insbesondere die MAC-Adresse eines mobilen Endgeräts ebenso wie das klassische eigene Geburtsdatum - eignen sich hingegen kaum für eine Authentifizierung.

    Zitat Zitat von ponal Beitrag anzeigen
    und die vergangenheit hat ja gezeigt das es denen scheiße egal ist was sie leaken solang sie was leaken.
    Das hängt davon ab, welches Ziel verfolgt wird. Öffentliche Leaks sind übrigens vergleichsweise harmlos, da man als Betroffener vergleichsweise leicht davon erfährt und die passenden Schritte unternehmen kann - z.B. die Sperrung der Kreditkarte, deren Daten geleakt wurden. Viel gefährlicher ist, wenn Daten unbemerkt gestohlen werden, mit dem Ziel, daraus Profit zu schlagen. In dieser Hinsicht sind ausgelesene WhatsApp-Nachrichten sicherlich weniger interessant als E-Mail-Konten oder Kreditkartendaten.

  14. #14
    Mitglied
    Registriert seit
    Aug 2012
    Beiträge
    202
    Danksagungen
    0

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    du glaubst ernsthaft bei den ganzen leaks an ein ziel? die zeit ist vorbei!

  15. #15
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Ja, natürlich haben die meisten Datendiebstähle ein bestimmtes Ziel - oft die persönliche Bereicherung des Angreifers - und nur die wenigsten davon führen zu öffentlichen Leaks (auch wenn die öffentliche Diskussion dadurch geprägt ist, eben weil die fraglichen Leaks öffentlich waren). Einzig die öffentlichen Leaks haben oftmals zum Ziel, dem Angreifer Aufmerksamkeit zu verschaffen - und selbst in diesem Fall steigt die Aufmerksamkeit, wenn es sich um sensible Daten handelt.

    Daher kannst du nicht davon ausgehen, dass die WhatsApp-Authentifizierung sicher sei, bloss weil bisher keine WhatsApp-Daten öffentlich geleakt wurden. Der Schluss wäre allerdings selbst abgesehen davon, dass die Daten eines einzelnen WhatsApp-Benutzers für einen Leak mutmasslich wenig interessant sind, falsch. Während ein Leak ein sichtbares Symptom für eine Schwachstelle wäre, kannst du aus dem Fehlen eines Leaks/Symptoms niemals auf ein sicheres System schliessen.

  16. #16
    Mitglied
    Registriert seit
    Oct 2012
    Beiträge
    1
    Danksagungen
    0

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    man bracht also die Tel.nr und die IMEI? ist das die Nr mit der ich mich auf WahtsApp registriere? ich nutze WhatsApp noch mit einer alten Nummer habe aber eine neue SIM Karte. Und chatte natürlich nur über mobiles Datennetz Kann sich da trotzdem jmd einhacken??

  17. #17
    Mitglied
    Registriert seit
    Nov 2006
    Beiträge
    892
    Danksagungen
    1

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Zitat Zitat von danone12 Beitrag anzeigen
    man bracht also die Tel.nr und die IMEI?
    ist das die Nr mit der ich mich auf WahtsApp registriere?
    Kann sich da trotzdem jmd einhacken??
    Ja.
    Ja.
    Wenn er deine alte Nummer hat oder herausbekommt ja.

  18. #18
    Mitglied
    Registriert seit
    Dec 2012
    Beiträge
    1
    Danksagungen
    0

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Ist das nur in Deutschland so? Weil bei whatsapp registrierung in der schweiz wird hier auf dem Handy keine Mac adresse gefragt, nur Handy nr und Land..und so viel ich weiss funktioniert hier in der schweiz der sniffer auch nicht.

  19. #19
    Mitglied
    Registriert seit
    Mar 2013
    Beiträge
    1
    Danksagungen
    0

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Zitat Zitat von fexbest Beitrag anzeigen
    MAC-Adresse geht bspw. auch, wenn sich die Zielperson in deinem WLAN zum Surfen einloggt kann man später die Routerlogs aufrufen. ...
    Und wie kann ich meine Router-Logins einsehen?

  20. #20
    Gesperrt Avatar von cokeZ
    Registriert seit
    Oct 2006
    Beiträge
    1.037
    NewsPresso
    4 (Könner)
    Danksagungen
    11

    Standard Re: Ausspionieren leicht gemacht: Whatsapp-Webclient veröffentlicht

    Auf deinen Router zugreifen. Je nach Router gibts dort ein Log-Verzeichniss (meist schon auf der Startseite).
    Dort kannst du sehen wer gerade alles eingeloggt ist auf deinem Router. Mit MAC Adresse und Computer/Handy Namen.
    *edit:
    Ins Router Menue kommt man ueber den Browser. Je nach Router wird er durch eine bestimmte Adresse "angesurft".
    Z.B. 192.168.2.1

  21.  
     
     

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •