WhatsApp? Unsicher trotz Verschlüsselung
ID: 1462558
Per WhatsApp versandte und empfangene Mediendaten sind auf Android-Geräten nicht sicher
Mit über eine Milliarde Nutzern ist WhatsApp der populärste Messenger weltweit. Über die Smartphone-App verschicken Nutzer Bilder, Dokumente, Videos und Sprachnachrichten schnell und kostenfrei. Doch was, wenn die versandten Daten nicht nur an die ausgewählten Freunde und Familienmitglieder gehen, sondern auch nicht vertrauenswürdige Apps darauf zugreifen können? Während über WhatsApp gesendete Textnachrichten verschlüsselt auf der SD-Karte gespeichert werden, gilt dieser Schutz nicht in gleichem Maß für Bilder, Videos, Sprachnachrichten und Dokumente: WhatsApp für Android speichert sowohl empfangene, als auch gesendete Mediendaten unverschlüsselt auf der SD-Karte und zwar in einem ungeschützten Bereich. ?Das Problem ist, dass Daten auf der SD-Karte auch für andere Apps zugänglich sind. Jede App, die Zugriff auf die SD-Karte hat, kann alle dort gespeicherten Mediendaten auslesen, löschen oder manipulieren?, so Dr. Julian Schütte, Abteilungsleiter Service & Application Security am Fraunhofer AISEC. ?Unter diesen Umständen ist WhatsApp als Kommunikationsdienst für den Einsatz im Unternehmensumfeld problematisch, weil das Sicherheitsrisiko ohne den Einsatz weiterer Schutzmaßnahmen zu groß ist?, so Schütte weiter.
Sichere Lösung technisch möglich
Aus Sicht der Mobile Security-Experten um Dr. Schütte wäre eine sichere Lösung dieses Problems technisch einfach umzusetzen: Durch eine Verschlüsselung der Mediendaten auf der SD-Karte oder das Speichern der Mediendaten im geschützten Bereich der WhatsApp-Anwendung. So könnten die Nutzerdaten gegen Auslesen und Modifikation geschützt werden. Derzeit kann jede App mit der Berechtigung ?READ_EXTERNAL_STORAGE? die vom WhatsApp Messenger auf der SD-Karte gespeicherten Mediendaten auslesen und z.B. an einen Server versenden. Erhält die App zudem noch die Berechtigung ?WRITE_EXTERNAL_STORAGE?, kann sie die Mediendaten sogar manipulieren, noch bevor der Benutzer diese öffnet. Um dies zu verdeutlichen, haben die Sicherheitsforscher mittels einer einfachen App empfangene Bilder auf dem Android-Gerät noch vor dem Öffnen durch den Empfänger gezielt manipuliert. ?Mediendaten und Dokumente, die über WhatsApp empfangen werden, sind weder vertraulich noch vertrauenswürdig. Man muss davon ausgehen, dass andere Apps sie auslesen und versenden können oder unbemerkt ihre Inhalte verändern?, so Dr. Julian Schütte vom AISEC.
Über 70% der Apps haben Zugriff auf WhatsApp-Mediendaten
Die AISEC-Forscher analysierten mehr als 16.000 der beliebtesten Apps im Google Play Store und stellten fest, dass ein Großteil über die Berechtigung verfügt, auf den ungeschützten Speicher zuzugreifen, der von WhatsApp genutzt wird. Vor allem Backup- oder ?Cleaner?-Tools greifen explizit auf die WhatsApp-Mediendaten zu. Was diese Apps jedoch genau mit den WhatsApp-Daten machen, wurde bislang nicht weiter untersucht. Von 16.764 untersuchten Apps aus dem Play-Store haben 71 % (11.914 Apps) die Berechtigung ?READ_EXTERNAL_STORAGE? und 69,8 % (11.696 Apps) haben die Berechtigung ?WRITE_EXTERNAL_STORAGE?.
Vom WhatsApp-Einsatz auf Android-Geräten raten die Forscher dennoch nicht grundsätzlich ab, weisen aber auf einen vorsichtigen Umgang im Unternehmenskontext hin: ?Es ist wichtig zu verstehen, dass eine verschlüsselte Verbindung allein noch keine Sicherheit garantiert, wenn die Daten auf dem Endgerät ungeschützt sind?, erklärt Experte Schütte.
Fraunhofer AISEC ist eine der international führenden Einrichtungen für angewandte Forschung im Bereich IT-Sicherheit. Mehr als 90 hochqualifizierte Mitarbeiterinnen und Mitarbeiter arbeiten an maßgeschneiderten Sicherheitskonzepten und Lösungen für Wirtschaftsunternehmen und den öffentlichen Sektor. Dazu zählen Lösungen für eine höhere Datensicherheit sowie für einen wirksamen Schutz vor Cyberkriminalität wie Wirtschaftsspionage und Sabotageangriffe. Das Kompetenzspektrum erstreckt sich von Embedded Security, über Automotive, Network und Smart Grid Security bis hin zum Schutz vor Produktpiraterie und Industrial Security sowie die Absicherung von Cloud-Diensten. Zudem bietet Fraunhofer AISEC in seinen modernen Testlaboren die Möglichkeit zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, von Hard- und Software-Produkten sowie von Web-basierten Diensten und Cloud-Angeboten. Weitere Informationen unter www.aisec.fraunhofer.de.
Unternehmensinformation / Kurzprofil:
Fraunhofer AISEC ist eine der international führenden Einrichtungen für angewandte Forschung im Bereich IT-Sicherheit. Mehr als 90 hochqualifizierte Mitarbeiterinnen und Mitarbeiter arbeiten an maßgeschneiderten Sicherheitskonzepten und Lösungen für Wirtschaftsunternehmen und den öffentlichen Sektor. Dazu zählen Lösungen für eine höhere Datensicherheit sowie für einen wirksamen Schutz vor Cyberkriminalität wie Wirtschaftsspionage und Sabotageangriffe. Das Kompetenzspektrum erstreckt sich von Embedded Security, über Automotive, Network und Smart Grid Security bis hin zum Schutz vor Produktpiraterie und Industrial Security sowie die Absicherung von Cloud-Diensten. Zudem bietet Fraunhofer AISEC in seinen modernen Testlaboren die Möglichkeit zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, von Hard- und Software-Produkten sowie von Web-basierten Diensten und Cloud-Angeboten. Weitere Informationen unter www.aisec.fraunhofer.de.
Datum: 02.03.2017 - 10:48 Uhr
Sprache: Deutsch
News-ID 1462558
Anzahl Zeichen: 5471
Kontakt-Informationen:
Stadt:
München
Kategorie:
Softwareindustrie
Diese Pressemitteilung wurde bisher 250 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"WhatsApp? Unsicher trotz Verschlüsselung"
steht unter der journalistisch-redaktionellen Verantwortung von
Fraunhofer AISEC (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Das Internet der Dinge und Dienste ist dabei, die Lebens- und Arbeitswelten grundlegend zu verändern. Das neu gegründete Münchner Leistungszentrum ?Sichere Vernetzte Systeme? bietet den Unternehmen auf dem Weg in die Digitalisierung eine interdisziplinäre Plattform in den Schwerpunktbereichen M
Mehr Sicherheitskompetenz für die Zukunft ? UND die Gegenwart ...
Stellungnahme von Prof. Dr. Claudia Eckert aus Anlass des 10. IT-Gipfels 2016 in Saarbrücken: Heute beginnt der nationale IT-Gipfel. Bereits zum 10. Mal treffen sich Wissenschaft, Politik und Wirtschaft, um über aktuelle Trends und Herausforderungen zu sprechen. Im Schatten des alles behe
Mehr Durchblick in der Cloud ...
Die Kontrolle von Cloud-Ressourcen für Cloud-Nutzer sowie Cloud-anbieter ist das Ziel von Clouditor, einer neuen Sicherheitslösung des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC. Durch maßgeschneiderte, kontinuierliche Tests beantwortet Clouditor Fragen bezüglich der
Weitere Mitteilungen von Fraunhofer AISEC
DeskCenter verfolgt Wachstumskurs mit neuen Partnern ...
Der Softwarehersteller DeskCenter Solutions AG erweitert sein Partner-Netzwerk in Deutschland, Österreich und der Schweiz. Um sein Wachstum weiter voranzutreiben, sucht DeskCenter gezielt Systemhäuser, die Vertrieb und Serviceleistungen rund um die DeskCenter Management Suite übernehmen. Die erf
Blue Yonder setzt für mehr Entscheidungssicherheit im Handel auf Microsoft Azure ...
Seit Anfang dieses Jahres setzt Blue Yonder, führender Anbieter von cloudbasierten Machine-Learning-Lösungen für den Handel, auf Microsoft Azure, die Cloud- und Daten-Plattform von Microsoft. Blue Yonder liefert Handelsunternehmen täglich mehr als 600 Millionen Entscheidungen zur Warendispositi
Mindjet: Partner für Neukundengewinnung ausgezeichnet ...
Für überdurchschnittliches Engagement und erfolgreiche Marketingaktivitäten für den Abverkauf von MindManager Lizenzen ehrt Mindjet jetzt die Partnerunternehmen BtB, Future X und Originalsoftware.de. Neben MindManager Enterprise in einem für Unternehmen attraktiven Lizenzprogramm biete
Drei Projekte der IBA Group sind im Finale der European IT& Software Excellence Awards 2017 ...
Die Finalisten für die European IT & Software Excellence Awards 2017, einer führenden gesamteuropäischen Auszeichnung für ISVs, Lösungsanbieter und Systemintegratoren sowie ihre Anbieter und Distributorenpartner, wurden von IT Europa bekannt gegeben. Die IBA Group (http://www.ibagr
