WhatsApp schließt Lücke erneut, aber nicht überall

Das Katz-und-Maus-Spiel um die Sicherheit von WhatsApp geht in die nächste Runde: Nachdem heise Security vor rund einer Woche demonstriert hatte, dass die Android-Version nach wie vor anfällig für Account-Hijacking ist, bietet der Betreiber nun WhatsApp-Version 2.8.8968 über Google Play an, die eine verbesserte Rufnummern-Verifikation verspricht.

Bei der aktuellen Version schlagen die uns bekannten Methoden der Account-Übernahme tatsächlich fehl. Auf einem unserer Testgeräte war es nach dem App-Update allerdings nötig, die von WhatsApp auf dem Handy gespeicherten Daten zu löschen und die Einrichtung erneut vorzunehmen. Die Löschfunktion findet man unter Jelly Bean etwa unter "Einstellungen, Anwendungs-Manager, WhatsApp, Daten löschen".

Da WhatsApp generell keine Angaben dazu macht, was verändert wurde, kann man nur darüber spekulieren, wie lange der Messenger den Knackversuchen dieses Mal stand hält. Nach der letzten Absicherung dauerte es acht Tage, bis uns ein Leser ein Skript geschickt hatte, mit dem man die Accounts wieder knacken konnte.

Dass es auch um die Sicherheit bei den WhatsApp-Versionen für andere Smartphone-Betriebssysteme nicht gut bestellt ist, zeigte sich, als wir die derzeit aktuelle Version 2.8.8.0 für Windows Phone 7.5 untersuchten: Hier gelingt uns der Account-Klau nämlich nach wie vor. Bei der aktuellen iOS-Version gelingt es mit den uns bekannten Tools derzeit nicht. (rei)