Warum man WhatsApp nicht nutzen sollte

  • Telefonnummer unverschlüsselt übertragen: Die Telefonnummer wird unverschlüsselt auf einen Server in den USA übertragen. Immer.
  • Das komplette Telefonbuch wird auf den Whatapp Server übertragen: Bei der Erstanmeldung (und auch später) wird das vollständige Telefonbuch des Handys zum Whatsapp Server übertragen. Enthalten sind die Telefonnummern und Namen aller Kontakte. Als Antwort erhält die App vom Server eine Liste aller Kontakte, die bei Whatsapp teilnehmen. Die Kontakte wiederum werden von ihrer App über den neuen Teilnehmer informiert.
  • Authentisierung ist hochgradig unsicher: Als Benutzername wird die Telefonnummer verwendet. Als Passwort auf dem iPhone die MAC-Adresse des WLAN-Interfaces und auf Android die IMEI (Hardware-ID). Jeder, der diese Daten hat, kann Nachrichten fälschen.
  • Die Verschlüsselung von Nachrichten ist unsicher: Erst im August 2012 hat Whatsapp angefangen, übertragene Nachrichten zu verschlüsseln. Die implementierte Methode ist unsicher, funktioniert nicht und ist mit zumutbarem Aufwand knackbar.
  • Bezahlsystem unsicher: Bei der Abobezahlung wird HTTPS nicht erzwungen. Ein Angreifer kann einen Benutzer umleiten und so an seine Bankdaten (Kreditkarte) gelangen. Die Angriffsmethode ist seit etwa 10 Jahren bekannt.
  • Datenbankverschlüsselung ist unsicher: Es handelt sich nicht um Verschlüsselung im eigentlichen Sinne, sondern eher um eine Art Verbergen. Gelangt ein Angreifer in den Besitz eines Telefons mit installiertem Whatsapp, kann er ohne viel Aufwand die Datenbank öffnen und auslesen.
  • Inkompetente Entwickler: Die Whatsappentwickler sind bekanntermaßen inkompetent was Themen wie Kryptographie, Netzsicherheit oder Privatsphäre anbelangt. Die oben aufgelisteten Probleme sind zum Teil seit Jahren bekannt und wurden bisher noch nicht erfolgreich behoben. Entweder weil die Entwickler die Sache noch schlimmer gemacht haben oder weil sie die Problematik ignoriert haben. Das Unternehmen verklagt regelmäßig Sicherheitsexperten, die Fehler in der App bekannt machen.

Quellen: