Trotz Verschlüsselung: Bei WhatsApp können Hacker kinderleicht mitlesen

Oh je: WhatsApp speichert Bilder, Dokumente und Sprachnachrichten nach der verschlüsselten Übertragung in einem ungeschützten Bereich des Android-Smartphones. 11.914 Apps aus dem Google Play Store haben Zugriff auf die Daten. Paradiesische Zustände für Hacker.

Da weint der Datenschützer: Bilder, Videos und Dokumente, die User über WhatsApp verschicken, sind alles andere als sicher.

Foto: Julian Stratenschulte/dpa

Paul verschickt über WhatsApp ein Foto von seiner feuchtfröhlichen Partyrunde an einen Kollegen. Dabei wähnt er sich in Sicherheit – schließlich bietet der Messenger eine sogenannte Ende-zu-Ende-Verschlüsselung zwischen den Smartphones. Doch Pustekuchen. Hacker haben leichtes Spiel, die Fotos von Paul in die Finger zu bekommen.

Der Grund: Während der Messenger Textnachrichten verschlüsselt auf der SD-Karte speichert, landen Bilder, Videos, Sprachnachrichten und Dokumente in einem ungeschützten Bereich der SD-Karte. „Das Problem ist, dass Daten auf der SD-Karte auch für andere Apps zugänglich sind“, erklärt Julian Schütte, Abteilungsleiter Service & Application Security am Fraunhofer Institut AISEC. „Jede App, die Zugriff auf die SD-Karte hat, kann alle dort gespeicherten Mediendaten auslesen, löschen oder manipulieren.“

11.914 Apps dürfen Bilder und Videos auslesenAuf Android-Smartphones haben eine Menge Apps Zugriff auf die WhatsApp-Daten, haben die AISEC-Forscher bei der Untersuchung von 16.764 der beliebtesten Apps im Google Play Store festgestellt. 71 % (11.914 Apps) haben die Berechtigung „WRITE_EXTERNAL_STORAGE“, mit der sie Mediendaten auslesen dürfen und zum Beispiel an einen Server versenden könnten.

Der Tipp von WhatsApp, um mehr Datensicherheit zu erreichen: Das Abspeichern von Mediendaten im Smartphone in den Einstellungen unterbinden. (Bildquelle: dpa)

Quelle: Arno Burgi/dpa

69,8 % haben zudem die Berechtigung „WRITE_EXTERNAL_STORAGE“. Damit dürfen die Programme Mediendaten manipulieren – sogar, bevor der Benutzer diese öffnet. Es ist also möglich, dass eine böse App ein harmloses Bild von Paul überhaupt erst in ein Saufgelage verwandelt.

Kann sein Kollege überhaupt darauf vertrauen, was er sieht? Nein, sagt Schütte: „Mediadaten und Dokumente, die über WhatsApp empfangen werden, sind weder vertraulich noch vertrauenswürdig. Man muss davon ausgehen, dass andere Apps sie auslesen und versenden können oder unbemerkt ihre Inhalte verändern.“

Option „Speichere eingehende Medien“ deaktiverenDie gute Nachricht: Eine Lösung des Problems ist technisch einfach umzusetzen. WhatsApp muss den Messenger einfach dahingehend verändern, dass auch Mediendaten im geschützten Bereich landen, um die über eine Milliarde User des Messenger-Dienstes zu schützen. Äußern wollte sich das Unternehmen zu der Einschätzung der Fraunhofer-Forscher übrigens nicht.

Auf Anfrage der Welt verwies WhatsApp lediglich auf die Option, das Abspeichern der Medieninhalte im Smartphone zu unterbinden. Dafür müsse man in den Einstellungen die Option „Speichere eingehende Medien“ deaktivieren. Die Medieninhalte stehen dann nur noch in den WhatsApp-Chats zur Verfügung. „Es ist wichtig zu verstehen, dass eine verschlüsselte Verbindung allein noch keine Sicherheit garantiert, wenn die Daten auf dem Endgerät ungeschützt sind“, so das Fazit von Schütte.

Stellenangebote im Bereich Prozessmanagement

Prozessmanagement Jobs

Ein Beitrag von:

Patrick Schroeder

Patrick Schroeder arbeitete während seines Studiums der Kommunikationsforschung bei verschiedenen Tageszeitungen. 2012 machte er sich als Journalist selbstständig. Zu seinen Themen gehören Automatisierungstechnik, IT und Industrie 4.0.

Themen im Artikel