Der beliebte mobile Messenger-Service WhatsApp hat Ende Januar eine Webversion namens WhatsApp Web veröffentlicht. Der Dienst erlaubt den Nutzern, WhatsApp auch im Web-Browser zu verwenden – zumindest, wenn sie Google Chrome nutzen und nicht versuchen, ihr WhatsApp-Web-Konto mit einem iPhone zu verknüpfen.
Uns interessiert natürlich vor allem, wie sich WhatsApp Web in Sachen Sicherheit verhält. Und auch wenn es die Webversion erst seit einigen Wochen gibt, haben wir bereits einige Sicherheitslücken entdeckt und es tauchten auch bereits Sicherheitsvorfälle auf.
Indrajeet Bhuyan, ein 17-jähriger Tech-Blogger und Sicherheitsforscher aus Indien, fand einige interessante, jedoch unkritische Fehler beim Zusammenspiel zwischen WhatsApp Web und der mobilen Originalversion. Die Webversion ist laut einem Blogbeitrag von WhatsApp nur eine Erweiterung der mobilen App von WhatsApp und zeigt die Konversationen, die auf dem mobilen Gerät geführt wurden, in Chrome an. Die Anwender können WhatsApp Web nur nutzen, wenn ihr mobiles Geräte (nicht iOS) nicht mit dem Internet verbunden ist.
Wir betrachten den neuen Web-Service von #WhatsApp aus Sicht der Sicherheit
Tweet
Wahrscheinlich werden die meisten Fehler in WhatsApp Web mit der mobilen App zusammenhängen, wie schon die von Bhuyan gefundenen Fehler schön zeigen.
Einer dieser Fehler hängt mit gelöschten Fotos und der Art, wie die Synchronisation zwischen mobiler und Web-App funktioniert, zusammen. Wenn ein Anwender WhatsApp mit dem neuen Webdienst verknüpft und ein Foto löscht, wird das Foto effektiv in der mobilen App gelöscht. Doch laut Bhuyan bleiben solche gelöschten Fotos in der Webversion weiterhin sichtbar. Wenn jedoch Nachrichten in der mobilen App gelöscht werden, sind sie auch in der Web-App gelöscht.
Der andere Fehler, den Bhuyan entdeckt hat, ist in den Privatsphäre-Einstellungen des Profils zu finden. Die Anwender können hier einstellen, dass ihr Profilbild für jeden, nur für die eigenen Kontakte oder für niemanden sichtbar ist. Wenn Sie allerdings einstellen, dass nur Ihre Kontakte das Bild sehen können, so wird das Foto laut Bhuyan in der Web-App dennoch jedem angezeigt. Im folgenden Video können Sie das selbst sehen:
Bhuyan hat auf seinem Blog eine kurze Analyse zu seinen Forschungen veröffentlicht. Hier veröffentlicht er schon technische Artikel seit er 14 ist. Er sagt, er habe WhatsApp bereits dazu kontaktiert und die Firma arbeite bereits daran. Auf unsere Anfrage nach einem Kommentar hat WhatsApp bisher nicht reagiert.
Der Kaspersky-Experte Fabio Assolini erforschte Betrugsmaschen, die das öffentliche Interesse an WhatsApp ausnutzen. Bei einem solchen Betrug fälschen die Täter die Installationsseite von WhatsApp und installieren stattdessen eine verdächtige Erweiterung für Google Chrome. Um WhatsApp Web zu installieren, müssen Anwender auf die Seite web.whatsapp.com gehen und mit ihrem Handy ein Foto des dort sichtbaren QR-Codes machen. Klar, dass Betrüger sofort gefälschte Webseiten veröffentlichen, die einen schädlichen QR-Code enthalten, über den Anwender infiziert werden.
Tatsächlich gibt es Betrügereien rund um angebliche Computerversionen von WhatsApp bereits länger als WhatsApp Web, wie Assolini darlegt. So gab es mehrere schädliche Domains, die brasilianische Bank-Trojaner als angebliche Versionen von WhatsApp for Windows verbreiteten. Und eine andere Gruppe Cyberkrimineller missbrauchte den Wunsch der Anwender nach einer Webversion von WhatsApp, um Telefonnummern für Betrügereien mit Premium-SMS zu sammeln, bei denen die Handynummern für teure SMS-Dienste registriert wurden, für die die Opfer dann zahlen mussten – Geld, das zum Großteil an die Betrüger ging.
Wir werden weiterhin untersuchen, wie sich die Sicherheit von WhatsApp Web gegenüber anderen Messenger-Diensten schlägt.
Der beste Tipp im Moment: Wenn Sie WhatsApp Web installieren, sollten Sie sicherstellen, dass Sie immer auf die richtige Webseite gehen .