Die Experten vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit geben zu bedenken, dass der Messenger WhatsApp unter Android trotz verschlüsselter Kommunikation potenzielle Sicherheitslücken aufweist. Besonders bei der Übertragung von Bildern, Videos, Sprachnachrichten und Dokumenten könnten Bedenken bezüglich des Schutzes aufkommen.
Forscher des Fraunhofer-Instituts weisen auf potenzielle WhatsApp-Sicherheitslücken hin
Die Experten vom Fraunhofer-Institut haben das Augenmerk auf einen kritischen Aspekt gerichtet: Während die Ende-zu-Ende-Verschlüsselung von WhatsApp als Schutzschild für Nachrichten fungiert, treten mögliche Schwächen bei der Speicherung von Dateien zutage. Diese Dateien, ob es sich um Bilder, Videos, Sprachnachrichten oder Dokumente handelt, könnten, trotz verschlüsselter Übertragung, unverschlüsselt auf dem Endgerät oder der Speicherkarte gespeichert werden.
Die Forscher des AISEC haben eine umfassende Untersuchung von mehr als 16.000 der populärsten Apps im Google Play Store durchgeführt. Dabei ist deutlich geworden, dass eine beträchtliche Anzahl dieser Anwendungen über die Befugnis verfügt, auf den ungeschützten Speicher zuzugreifen, der von WhatsApp genutzt wird. Besonders Backup- oder “Cleaner”-Tools zeigen ein dezidiertes Interesse an den WhatsApp-Mediendaten. Bedauerlicherweise bleibt bisher unklar, welche konkreten Maßnahmen diese Apps in Bezug auf die WhatsApp-Daten ergreifen.
Innerhalb der umfangreichen Auswahl von 16.764 analysierten Apps aus dem Play Store sind 71 % (11.914 Apps) mit der Berechtigung “READ_EXTERNAL_STORAGE” ausgestattet, während 69,8 % (11.696 Apps) die Berechtigung “WRITE_EXTERNAL_STORAGE” besitzen. Diese Berechtigungen ermöglichen einen uneingeschränkten Zugriff auf die Daten, die von WhatsApp auf dem Gerät gespeichert werden. Die Bandbreite dieser Berechtigungen spiegelt die potenzielle Reichweite von Apps wider, die eventuell ungewollten Zugriff auf die sensiblen WhatsApp-Mediendaten haben könnten.
WhatsApp-Sicherheit: Dr. Schütte’s Empfehlungen
Laut Mobile Security-Experten, angeführt von Dr. Schütte, könnte eine technisch einfache Lösung zur Sicherung von Mediendaten auf der SD-Karte oder im geschützten Bereich der WhatsApp-Anwendung umgesetzt werden. Dies würde die Nutzerdaten vor unerlaubtem Zugriff und Veränderungen schützen.
Jeztz besteht die Möglichkeit für Apps mit der Berechtigung „READ_EXTERNAL_STORAGE“, Mediendaten, die von WhatsApp auf der SD-Karte gespeichert sind, auszulesen und beispielsweise an einen Server zu senden. Sollte die App zusätzlich die Berechtigung „WRITE_EXTERNAL_STORAGE“ besitzen, könnten Mediendaten sogar manipuliert werden, bevor der Benutzer sie öffnet.
Um dies zu veranschaulichen, haben Sicherheitsforscher mithilfe einer simplen App empfangene Bilder auf Android-Geräten manipuliert, bevor der Empfänger sie öffnen konnte. Dr. Julian Schütte vom AISEC betont: „Mediendaten und Dokumente, die über WhatsApp empfangen werden, sind weder vertraulich noch vertrauenswürdig. Es ist davon auszugehen, dass andere Apps sie auslesen und versenden können oder unbemerkt ihre Inhalte verändern.“