Trotz Verschlüsselung: Bei WhatsApp können Hacker kinderleicht mitlesen

Da weint der Datenschützer: Bilder, Videos und Dokumente, die User über WhatsApp verschicken, sind alles andere als sicher. 

Foto: Julian Stratenschulte/dpa

Paul verschickt über WhatsApp ein Foto von seiner feuchtfröhlichen Partyrunde an einen Kollegen. Dabei wähnt er sich in Sicherheit – schließlich bietet der Messenger eine sogenannte Ende-zu-Ende-Verschlüsselung zwischen den Smartphones. Doch Pustekuchen. Hacker haben leichtes Spiel, die Fotos von Paul in die Finger zu bekommen.

Der Grund: Während der Messenger Textnachrichten verschlüsselt auf der SD-Karte speichert, landen Bilder, Videos, Sprachnachrichten und Dokumente in einem ungeschützten Bereich der SD-Karte. „Das Problem ist, dass Daten auf der SD-Karte auch für andere Apps zugänglich sind“, erklärt Julian Schütte, Abteilungsleiter Service & Application Security am Fraunhofer Institut AISEC. „Jede App, die Zugriff auf die SD-Karte hat, kann alle dort gespeicherten Mediendaten auslesen, löschen oder manipulieren.“

Top Stellenangebote

Zur Jobbörse

Slider zurück scrollen Slider weiter scrollen

Ingenieur / Betriebswirt als Einspeisemanager Regulierung / Netzwirtschaft (m/w/d) ELE Verteilnetz GmbH

Gelsenkirchen Zum Job 

Ingenieur (m/w/d) Homologation Goldhofer Aktiengesellschaft

Memmingen Zum Job 

Betriebswirt / Ingenieur als Regulierungsmanager Grundsatzfragen Netzwirtschaft Strom / Gas (m/w/d) ELE Verteilnetz GmbH

Gelsenkirchen Zum Job 

Ingenieurgeolog*in im U-Bahn-Bau (m/w/d) Landeshauptstadt München

München Zum Job 

Ingenieur / Meister / Techniker (m/w/d) mit dem Schwerpunkt: Betriebstechnik und Betriebscontrolling Evonik Operations GmbH

Wittenburg Zum Job 

Vergabemanager (w/m/d) Die Autobahn GmbH des Bundes

Montabaur Zum Job 

Fachexperte Hochbau (w/m/d) Die Autobahn GmbH des Bundes

Montabaur Zum Job 

Referent Elektrotechnik (m/w/d) EVH GmbH

Halle (Saale) Zum Job 

Teamleitung Planung Verkehrsinfrastruktur (d/m/w) Stadtwerke Verkehrsgesellschaft Frankfurt am Main mbH

Frankfurt am Main Zum Job 

Bauingenieur / Experte Vergabe und Vertragsabwicklung (w/m/d) Die Autobahn GmbH des Bundes

Montabaur Zum Job 

Arbeitsvorbereiter / Stationärer Projektleiter (m/w/d) für Auftragsbegleitung und Produktionssteuerung im Bereich Fertigteilbau KLEBL GmbH

Angelburg-Gönnern (Mittelhessen) Zum Job 

Ingenieur / Meister / Techniker (m/w/d) mit dem Schwerpunkt: Betriebstechnik und Betriebscontrolling Evonik Operations GmbH

Wittenburg Zum Job 

Versuchsingenieur - Fahrzeugabstimmung (m/w/d) KYB Europe GmbH

Aschheim Zum Job 

Process Engineer (m/w/d) Heraeus Quarzglas GmbH & Co. KG

Kleinostheim Zum Job 

Projektleiter (m/w/d) Entwicklung Diehl Aerospace GmbH

Nürnberg, Überlingen, Frankfurt am Main, Rostock Zum Job 

Amtsleitung des Tiefbauamtes (m/w/d) Stadt Tettnang

Tettnang Zum Job 

Entwicklungsingenieur (m/w/d) DWA GmbH & Co. KG

Ubstadt-Weiher Zum Job 

Engineer (m/w/d) Verification & Validation Diehl Aerospace GmbH Werk Nürnberg

Frankfurt / Main, Nürnberg, Rostock, Überlingen am Bodensee Zum Job 

Bachelor of Engineering / Science/Dipl.-Ingenieur (FH) (m/w/d) Fachrichtung Bauingenieurwesen/Umwelttechnik Landeswasserversorgung

Stuttgart Zum Job 

Experte (w/m/d) mit Schwerpunkt Qualifizierungen für unsere biotechnologische Produktion WACKER

Halle Zum Job 

11.914 Apps dürfen Bilder und Videos auslesenAuf Android-Smartphones haben eine Menge Apps Zugriff auf die WhatsApp-Daten, haben die AISEC-Forscher bei der Untersuchung von 16.764 der beliebtesten Apps im Google Play Store festgestellt. 71 % (11.914 Apps) haben die Berechtigung „WRITE_EXTERNAL_STORAGE“, mit der sie Mediendaten auslesen dürfen und zum Beispiel an einen Server versenden könnten.

Der Tipp von WhatsApp, um mehr Datensicherheit zu erreichen: Das Abspeichern von Mediendaten im Smartphone in den Einstellungen unterbinden. (Bildquelle: dpa)

Quelle: Arno Burgi/dpa

69,8 % haben zudem die Berechtigung „WRITE_EXTERNAL_STORAGE“. Damit dürfen die Programme Mediendaten manipulieren – sogar, bevor der Benutzer diese öffnet. Es ist also möglich, dass eine böse App ein harmloses Bild von Paul überhaupt erst in ein Saufgelage verwandelt.

Kann sein Kollege überhaupt darauf vertrauen, was er sieht? Nein, sagt Schütte: „Mediadaten und Dokumente, die über WhatsApp empfangen werden, sind weder vertraulich noch vertrauenswürdig. Man muss davon ausgehen, dass andere Apps sie auslesen und versenden können oder unbemerkt ihre Inhalte verändern.“

Option „Speichere eingehende Medien“ deaktiverenDie gute Nachricht: Eine Lösung des Problems ist technisch einfach umzusetzen. WhatsApp muss den Messenger einfach dahingehend verändern, dass auch Mediendaten im geschützten Bereich landen, um die über eine Milliarde User des Messenger-Dienstes zu schützen. Äußern wollte sich das Unternehmen zu der Einschätzung der Fraunhofer-Forscher übrigens nicht.

Auf Anfrage der Welt verwies WhatsApp lediglich auf die Option, das Abspeichern der Medieninhalte im Smartphone zu unterbinden. Dafür müsse man in den Einstellungen die Option „Speichere eingehende Medien“ deaktivieren. Die Medieninhalte stehen dann nur noch in den WhatsApp-Chats zur Verfügung. „Es ist wichtig zu verstehen, dass eine verschlüsselte Verbindung allein noch keine Sicherheit garantiert, wenn die Daten auf dem Endgerät ungeschützt sind“, so das Fazit von Schütte.