Erst seit April dieses Jahres gilt bei WhatsApp plattformübergreifend die Ende-zu-Ende-Verschlüsselung beim Versand und Empfang von Nachrichten über den Messenger. Doch genau die will nun Security-Urgestein John McAfee geknackt haben.
McAfee hackt WhatsApp
Via Telefon hat John McAfee der Plattform „Cybersecurity Ventures“ am Sonntag (Ortszeit) die Nachricht vom WhatsApp-Hack mitgeteilt. Es folgte eine E-Mail mit weiteren Details.
Die später entschlüsselte Nachricht wurde zwischen zwei Mitarbeitern der Sicherheitsfirma LIFARS in New York ausgetauscht. Auf beiden „fabrikneuen“ Android-Smartphones, die zum Austausch der WhatsApp-Nachricht genutzt wurden, wurde eine kleine App von McAfee und seinem Hacker-Team heruntergeladen. Der Nachrichtenaustausch fand bereits um 14:25 Uhr am Samstag (Ortszeit) statt. Knapp eine Minute später konnten die Hacker um McAfee die Nachricht in Colorado lesen. Es handelt sich dabei nur um die Zeile „H3y guys. Can you read this? LIFARS. C0D3 br34k4r“ in Leetspeak.
McAfee wollte gegenüber Cybersecurity Ventures nur einen Namen der beteiligten Hacker verraten. Beteiligt gewesen sein soll unter anderen Chris Roberts, der 2015 zu Bekanntheit gekommen war, als das FBI berichtete, er habe die Behörde informiert, mehrfach Passagierflugzeuge gehackt zu haben.
Android und Google sind Schuld
Bei WhatsApp betont man auf seiner Webseite, wie bei vielen Anbietern, dass einem „die Sicherheit“ der Daten des Kunden am Herzen liege. Das alleine schützt jedoch nicht vor Manipulation.
Aber wer hat in diesem Fall Schuld? Laut McAfee sei die Schuld in erster Linie bei Google und dessen Betriebssystem Android zu suchen. Darin soll es ein kritisches Designproblem geben. Entsprechend bestätigt McAfee die Motivation hinter dem Hack als abermaligen Hinweis auf die Gefahren. Ein Betriebssystem wie Android, das auf 90 Prozent der Geräte installiert sei, sollte kein Einfallstor für Einbrecher sein, sondern das erste Bollwerk dagegen.
Kein Root notwendig
Ondrej Krehel, Geschäftsführer der Firma LIFARS, deren Smartphone-Kommunikation abgehört wurde, bestätigte, dass man Spuren von Malware und einem Tastatur-Recorder gefunden habe. Es seien für den Hack keinerlei Root-Rechte notwendig gewesen. Man werde Details solange unter Verschluss behalten, bis die Hacker eine Chance hatten, sich mit Google und den Verantwortlichen bei WhatsApp auszutauschen. McAfee betonte, dass er einem Dialog mit Google und WhatsApp offen gegenüber stünde. Hinter der Aktion stünde keinerlei finanzielles Interesse.
Was genau das Design-Problem in Android sei, das auf einfache Weise das Ausspähen von Nachrichten auf Smartphones (oder Tablets) von Dritten erlaubt, verriet McAfee nicht. Er verriet jedoch, dass neben WhatsApp auch SnapChat auf die gleiche Weise abgehört werden konnte.
McAfee soll Journalisten hinters Licht geführt haben
William Turton von Gizmodo präsentiert allerdings pikante Details über den vermeintlichen Hack. So soll John McAfee im Vorfeld der Veröffentlichung auf Cybersecurity Ventures mehrere Journalisten unter anderem von Russia Today oder Business Insider angeschrieben haben, um eine Geschichte zu lancieren. Als einer der angefragten Journalisten die Story von Externen bestätigen lassen wollte, ruderte McAfee zurück. Offenbar sollten den Journalisten zwei "fabrikneue" Smartphones zugeschickt werden, die dann im Beisein von den Hackern ausgepackt werden sollten. Allerdings soll die oben beschriebene Software samt Keylogger bereits installiert gewesen sein, ohne dass das die Journalisten wussten oder hätten wissen sollen.
Diskutiere mit!
Hier kannst du den Artikel "WhatsApp gehackt? Verschlüsselung auf Android für die Katz?" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.
Egal ob McAfee getrickst hat oder nicht (was mich nicht verwundern würde..)
Android hat ein generelles Design-Problem: Wenn ich schon in Einsteiger-Tutorials zum Erlernen der App-Programmierung lerne, wie Apps auch im Hintergrund Daten abgreifen können... dann lässt einen das erschrecken!
Apple mag man auch kritisieren, aber Android als "für alles offen"-Prinzip ist für Sicherheitsfanatiker ein Graus.
"Hinter der Aktion stünde keinerlei finanzielles Interesse.".... Schon klar,Selbstverständlich nicht....
Dieser Spackenalgorithmus ist schon seid ein paar Jahren geknackt. Aber das will ja niemand Wahrhaben. Hauptsache dem dummen Pöbel geht bei dem Wort "Sicher Verschlüsselt" einer ab. Desinformation wo man nur hinschaut!
Meiner Meinung nach kann es sich um eine Tastatur Applikation handeln die als Hintergrund service jede Eingabe abfangen kann und Zugang zu einem input und dessen Patent geben kann. Das ist keine Sicherheitslücke sondern ein feature - deshalb installiert ein Sicherheits-fanatiker/-Mensch eine opensource Anwendung oder hat seinen eigenen Programmierer.