Das deutsche Sicherheitsunternehmen Curesec hat beim Messaing-Dienst WhatsApp eine Sicherheitslücke entdeckt, die den Zugriff auf Paypal und Google Wallet-Konten zulässt. Ein Angreifer könnte somit ein potentielles Opfer ganz einfach auf eine andere Seite umleiten.

Über ein Lücke in WhatsApp sollen Hacker auf Paypal oder Google Wallet zugreifen können. Die Gefahr bestehe aufgrund der Mischung an verschlüsselten und unverschlüsselten Verbindungen, die bei WhatsApp zum Einsatz kommt. Wenn ein Nutzer seine Lizenz für den Messaging-Dienst bezahlt, wird diese Anfrage über SSL verschlüsselt. Die Daten zwischen Browser und WhtsApp-Server werden jedoch im Klartext übertragen. Genau an dieser Stelle ist der Knackpunkt.

Ein Angreifer könnte herausfinden, dass ein Anwender gerade eine Zahlung abwickelt, und den Nutzer n betrügerischer Absicht auf seine eigene Seite umleiten. "Mit einem geeigneten Man-in-the-Middle-Angriff wäre es möglich, einen User, der gerade für WhatsApp bezahlen will, auf eine beliebige Webseite umzuleiten",so Curesec. "Und mit einer falschen Google-Wallet- oder Paypal-Seite ließen sich dann Nutzerkonten sammeln."

Einige Experten in Sicherheitsfragen sind der Meinung, dass ein solcher Angriff zwar leicht zu realisieren sein, jedoch nur, wenn sich Opfer und Täter im selben WLAN-Netzwerk befinden. Da der Lizenzkauf höchstens jedes Jahr vorgenommen werden muss, sei die Trefferquoute doch sehr gering.

Erst diese Woche wurde ein 23-jähriger Spanier verhaftet, weil er mit einer angeblichen Spy-App für WhatsApp rund 50.000 Dollar eingenommen hat.

[appbox googleplay com.whatsapp]

[appbox appstore id310633997]



Über den Autor

Sebastian Siepmann