Die Einf\u00fchrung der Ende-zu-Ende-Verschl\u00fcsselung wurde von WhatsApp-Nutzern und Datensch\u00fctzern sehr begr\u00fc\u00dft. Dass es hierbei aber dennoch zu erheblichen Sicherheitsproblemen kommt, haben nun Forscher des Fraunhofer-Instituts f\u00fcr Angewandte und Integrierte Sicherheit AISEC herausgefunden. Betroffen sind vor allem Android-Nutzer. Auf Android-Ger\u00e4ten sind Mediendateien wie Bilder, Dokumente und Sprachnachrichten, die per WhatsApp versandt und empfangen werden, unzureichend gesch\u00fctzt. Die Ursache daf\u00fcr ist, dass die Daten lediglich f\u00fcr die \u00dcbertragung von einem Ger\u00e4t auf das andere verschl\u00fcsselt werden. Beim Empf\u00e4nger werden die Daten entschl\u00fcsselt und in einem ungesch\u00fctzten Bereich auf dem Ger\u00e4t gespeichert, sodass Apps darauf zugreifen und die Daten beispielsweise an andere Ger\u00e4te weitergeleitet werden k\u00f6nnen. Dies stellt ein enormes Sicherheitsproblem f\u00fcr die Daten der Nutzer dar.<\/p>\n
Mit \u00fcber eine Milliarde Nutzern ist WhatsApp der popul\u00e4rste Messenger weltweit. \u00dcber die Smartphone-App verschicken Nutzer Bilder, Dokumente, Videos und Sprachnachrichten schnell und kostenfrei. Doch was, wenn die versandten Daten nicht nur an die ausgew\u00e4hlten Freunde und Familienmitglieder gehen, sondern auch nicht vertrauensw\u00fcrdige Apps darauf zugreifen k\u00f6nnen? W\u00e4hrend \u00fcber WhatsApp gesendete Textnachrichten verschl\u00fcsselt auf der SD-Karte gespeichert werden, gilt dieser Schutz nicht in gleichem Ma\u00df f\u00fcr Bilder, Videos, Sprachnachrichten und Dokumente: WhatsApp f\u00fcr Android speichert sowohl empfangene, als auch gesendete Mediendaten unverschl\u00fcsselt auf der SD-Karte und zwar in einem ungesch\u00fctzten Bereich. \u201eDas Problem ist, dass Daten auf der SD-Karte auch f\u00fcr andere Apps zug\u00e4nglich sind. Jede App, die Zugriff auf die SD-Karte hat, kann alle dort gespeicherten Mediendaten auslesen, l\u00f6schen oder manipulieren.\u201c, so Dr. Julian Sch\u00fctte, Abteilungsleiter Service & Application Security am Fraunhofer AISEC. \u201eUnter diesen Umst\u00e4nden ist WhatsApp als Kommunikationsdienst f\u00fcr den Einsatz im Unternehmensumfeld problematisch, weil das Sicherheitsrisiko ohne den Einsatz weiterer Schutzma\u00dfnahmen zu gro\u00df ist\u201c, so Sch\u00fctte weiter.<\/p>\n
Sichere L\u00f6sung technisch m\u00f6glich<\/b><\/p>\n
Aus Sicht der Mobile Security-Experten um Dr. Sch\u00fctte w\u00e4re eine sichere L\u00f6sung dieses Problems technisch einfach umzusetzen: Durch eine Verschl\u00fcsselung der Mediendaten auf der SD-Karte oder das Speichern der Mediendaten im gesch\u00fctzten Bereich der WhatsApp-Anwendung. So k\u00f6nnten die Nutzerdaten gegen Auslesen und Modifikation gesch\u00fctzt werden. Derzeit kann jede App mit der Berechtigung \u201eREAD_EXTERNAL_STORAGE\u201c die vom WhatsApp Messenger auf der SD-Karte gespeicherten Mediendaten auslesen und z.B. an einen Server versenden. Erh\u00e4lt die App zudem noch die Berechtigung \u201eWRITE_EXTERNAL_STORAGE\u201c, kann sie die Mediendaten sogar manipulieren, noch bevor der Benutzer diese \u00f6ffnet. Um dies zu verdeutlichen, haben die Sicherheitsforscher mittels einer einfachen App empfangene Bilder auf dem Android-Ger\u00e4t noch vor dem \u00d6ffnen durch den Empf\u00e4nger gezielt manipuliert. \u201eMediendaten und Dokumente, die \u00fcber WhatsApp empfangen werden, sind weder vertraulich noch vertrauensw\u00fcrdig. Man muss davon ausgehen, dass andere Apps sie auslesen und versenden k\u00f6nnen oder unbemerkt ihre Inhalte ver\u00e4ndern\u201c, so Dr. Julian Sch\u00fctte vom AISEC.<\/p>\n