Forscher finden SSL-Probleme in WhatsApp

Die Nachricht, dass Facebook den mobile Messaging-Service WhatsApp gekauft hat, hat die IT-Welt in der letzten Woche in Aufregung versetzt. In erster Linie liegt das natürlich an dem märchenhaften Preis von 19 Milliarden Dollar, zu einem geringeren Teil aber auch an dem unglaublich rasanten Aufstieg des Unternehmens. Doch während die Analysten und Kunden den Deal noch von allen Seiten beleuchten, haben einige Experten schon einmal die Sicherheit von WhatsApp selbst unter die Lupe genommen.

WhatsApp ist ein Service zum Versand von Text- und Multimedia-Nachrichten, der als Infrastruktur das Internet an Stelle eines Mobilfunkanbieters nutzt. Die App wuchs zunächst nur zögerlich, doch in den letzten paar Jahren ist die Zahl der User explosionsartig gestiegen und sie zählt nun 450 Millionen aktive Anwender. Sicherheitsforscher von Praetorian, die unter der Bezeichnung Project Neptune an einem Projekt zur Bestimmung der Sicherheit mobiler Apps arbeiten, haben eine eingeschränkte Bewertung der WhatsApp-Versionen für iOS und Android durchgeführt und fanden eine Reihe von Problemen, die die Art und Weise betreffen, wie die App SSL nutzt.

Das größte Problem, das sie fanden, besteht darin, dass WhatsApp das Zertifikat-Pinning nicht unterstützt. Der Einsatz des Zertifikat-Pinnings ermöglicht es Apps, ein spezifisches Zertifikat zu bestimmen, dem sie für einen gegebenen Server vertrauen. Dadurch kann eine Reihe von Angriffen abgewehrt werden, insbesondere Man-in-the-Middle-Attacken, die auf der Täuschung des Zertifikats für eine vertrauenswürdige Website fußen. Viele der gängigen Webbrowser unterstützen das Zertifikat-Pinning, doch in der mobilen Welt dauert seine Einführung länger. Praetorian fand also heraus, dass WhatsApp das SSL-Pinning nicht einsetzt und seine Nutzer so für MITM-Attacken potentiell angreifbar macht.

“Innerhalb von Minuten deckte das Project Neptune mehrere Sicherheitsprobleme auf, die mit SSL in Zusammenhang stehen und die Vertraulichkeit der Nutzerdaten betreffen, die zwischen Back-End-Servern ausgetauscht werden. Die NSA würde es lieben. Es ermöglicht ihnen – oder einem Angreifer – nämlich, sich als „Man-in-the-Middle“ in die Verbindung einzuschleichen, dann die Verschlüsselung zu entschärfen, um daraufhin den Traffic abzufangen und auszuspionieren. Diese Sicherheitsprobleme setzen die Daten und die Kommunikation von WhatsApp-Nutzern einem Risiko aus”, schreibt Paul Jauregui von Praetorian in einer Erklärung zu ihrer Untersuchung.

“WhatsApp führt beim Aufbau einer sicheren Verbindung zwischen der mobilen Applikation und dem Back-End-Webservice kein SSL-Pinning durch. Ohne SSL-Pinning kann ein Angreifer sich in die Verbindung zwischen der mobilen Anwendung und den Back-End-Webservices als „Man in the Middle“ einschleichen. Dadurch würde es ihm möglich, Anmeldedaten des Nutzers, Session-IDs oder andere sensitive Informationen auszuspionieren.”

Jauregui sagte in einem E-Mail-Interview, dass es unglücklicherweise recht häufig vorkomme, dass mobile Apps kein Zertifikat-Pinning anwenden.

“Überraschenderweise sind mobile Apps ohne Zertifikat-Pinning alles andere als eine Seltenheit. Diese Sicherheitskontrolle wird durchgeführt, um zu verhindern, dass ein Angreifer den gesamten Traffic, der zwischen dem mobilen Gerät und dem Back-End-Server hin- und hergeschickt wird, einsieht und modifiziert. Die Funktion kann zudem vor Abstürzen der Zertifikatsstellen während des Verbindungsaufbaus zwischen dem Client und dem Server schützen, wenn die Verbindung mit schwacher oder fehlender Verschlüsselung durchgeführt wird, so wie es im Fall von WhatsApp beobachtet wurde. Das ist eine noch größere rote Fahne“, sagte er.

Die Forscher haben außerdem zwei weitere, weniger gefährliche Probleme aufgedeckt, unter anderem die Unterstützung für Null-Ciphers, was bedeutet, dass manche Daten überhaupt nicht verschlüsselt werden.

“Wenn der Client der mobilen Anwendung bei unterstützten Null Ciphers versucht, sich unter Nutzung von SSL mit dem Server zu verbinden, und beide Seiten unterstützen aufgrund eines feindlichen Abfangens keine gängigen Cipher Suites, so werden die Daten in reinem Text übermittelt. Die Unterstützung von Null Ciphers ist nicht häufig anzutreffen, das ist eher selten”, kommentiert Jauregui.

Die Sicherheit von mobilen Apps hängt der Sicherheit von Desktop- und Web-Apps in vielerlei Hinsicht hinterher, da die Entwickler auf die neuen Plattformen übergesiedelt sind und es dann mit denselben Sicherheitsproblemen zu tun bekamen, mit denen sie schon Jahre vorher im Web zu kämpfen hatten. Es ist auch nicht das erste Mal, dass Forscher auf Sicherheitsprobleme mit WhatsApp gestoßen sind. Vor einigen Jahren wurde bereits berichtet, dass die App Daten in reinem Text sendet und andere Experten fanden heraus, dass sie eine API verwenden können, um jeden beliebigen User-Account zu kapern.

Das Problem mit dem Zertifikat-Pinning kann auf vielerlei Weise gelöst werden, und laut Jauregui hängt alles davon ab, was die Entwickler tun wollen.

“Die diesbezüglichen Anstrengungen können in Abhängigkeit davon variieren, auf welche Weise die Entwickler das Zertifikat-Pinning implementieren wollen. Das Zertifikat selbst zu pinnen, ist die einfachere Lösung, allerdings macht es über einen längeren Zeitraum Arbeit, da die Entwickler die Applikation immer dann verändern müssen, wenn das Zertifikat sich ändert. Eine andere Möglichkeit besteht darin, es an einen öffentlichen Schlüssel zu pinnen, was komplizierter werden kann. Die Wahl der richtigen Art hängt häufig auch von der Frequenz ab, mit der das Zertifikat selbst sich verändert“, erläutert er.

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.