In öffentlichen Hotspots sollte der SMS-Ersatz WhatsApp besser nicht genutzt werden. Mit der Anwendung versendete Nachrichten lassen sich einfach mitlesen. Computerbild vergab der App deswegen im Test die Note Mangelhaft. Bereits vor sechs Wochen warnte G-Data vor der Sicherheitslücke. Auch wir berichteten im Mai davon.

Über WhatsApp werden jeden Tag mehr als zwei Milliarden Nachrichten weltweit verschickt. Übertragen werden die Nachrichten über das XMP-Protokoll unverschlüsselt – also in Klartext. Mit einer Spionage-App, wie der bereits von uns vorgestellten „WhatsApp Sniffer“, lassen sich die Nachrichten einfach ausspähen.

Über den Google Play Store konnte die App frei bezogen werden und Anwender nutzten dies tausendfach. Zwar hat Google reagiert und die Spähanwendung entfernt, allerdings sind installierte „WhatsApp Sniffer“-Versionen nach wie vor lauffähig und auch an anderen Stellen im Netz findet man die Software noch.

WhatsApp hatte kurz nach der Sicherheitswarnung von GDATA zwar ein Pflicht-Update verpasst, das eigentliche Problem wurde aber nicht gelöst. Nachrichten werden nach wie vor unverschlüsselt versendet. Für Computerbild ist dies ein Grund der Smartphone-App die Note Mangelhaft zu vergeben.

Fotos & mehr mit WhatsApp Sniffer ausspähen

Mit WhatsApp können Anwender im WLAN übertragene Daten im Klartext mitlesen. Gruppen-Chats und verschlüsselte mit Passwörtern versehene WLANs verhindern dies nicht. Vorausgesetzt der Nutzer hat Zugang zum WLAN. Spionierfreudige können sogar Fotos und die aktuelle Position des Smartphones ermitteln. Vom Spähvorgang bekommen die Opfer nichts mit. Lediglich ein gerootetes Android-Smartphone und WhatsApp Sniffer sind erforderlich. Dabei ist es unerheblich, ob der Ausgespäte ein Android-Phone, ein iPhone oder Nokia benutzt. Lediglich Blackberrys sind aktuell sicher. Sie nutzen alternative Server zur Datenübermittlung und werden von WhatsApp Sniffer nicht unterstützt.

Adressbuch nicht sicher

Eine weitere datenschutzrelevante Lücke ermittelte der Computerbild-Test auch: WhatsApp speichert das komplette Adressbuch. Was genau mit den Kontaktdaten geschieht, verrät der Entwickler nicht. Fakt ist, dass auch andere SMS-Ersatzprogramme sich in den Bedingungen vorbehalten Daten auszulesen und für Werbung zu benutzen.

Alternativen mysms und ChatOn versenden verschlüsselt

Es geht auch anders: Andere Messaging-Apps machen es vor. Testsieger mysms oder die Samsung-App ChatON versenden Daten unverschlüsselt. MySMS ist für Android, iOS, Chrome, Windows Mac OS X und WebSMS-Connectoren verfügbar. ChatON kann immerhin auf Systemen mit Android, iOS, Blackberry und Bada installiert werden.

WhatsApp-Nutzer müssen jetzt nicht völlig besorgt die Anwendung vom Smartphone schmeißen. Viele sind bereits auf den (fast) kostenfreien Dienst angewiesen, weil ihn alle Freunde nutzen. Geachtet werden sollte darauf, dass der Dienst außerhalb des heimischen WLANs nur über das Mobilfunknetz genutzt wird. Da die meisten Text-Nachrichten nur wenige Kilobyte groß sind, wird das Trafficvolumen, des Datentarifs kaum beansprucht.