Mit über eine Milliarde Nutzern ist WhatsApp der populärste Messenger weltweit. Über die Smartphone-App verschicken Nutzer Bilder, Dokumente, Videos und Sprachnachrichten schnell und kostenfrei. Doch was, wenn die versandten Daten nicht nur an die ausgewählten Freunde und Familienmitglieder gehen, sondern auch nicht vertrauenswürdige Apps darauf zugreifen können? Während über WhatsApp gesendete Textnachrichten verschlüsselt auf der SD-Karte gespeichert werden, gilt dieser Schutz nicht in gleichem Maß für Bilder, Videos, Sprachnachrichten und Dokumente: WhatsApp für Android speichert sowohl empfangene, als auch gesendete Mediendaten unverschlüsselt auf der SD-Karte und zwar in einem ungeschützten Bereich. „Das Problem ist, dass Daten auf der SD-Karte auch für andere Apps zugänglich sind. Jede App, die Zugriff auf die SD-Karte hat, kann alle dort gespeicherten Mediendaten auslesen, löschen oder manipulieren“, so Dr. Julian Schütte, Abteilungsleiter Service & Application Security am Fraunhofer AISEC. „Unter diesen Umständen ist WhatsApp als Kommunikationsdienst für den Einsatz im Unternehmensumfeld problematisch, weil das Sicherheitsrisiko ohne den Einsatz weiterer Schutzmaßnahmen zu groß ist“, so Schütte weiter.
Sichere Lösung technisch möglich
Aus Sicht der Mobile Security-Experten um Dr. Schütte wäre eine sichere Lösung dieses Problems technisch einfach umzusetzen: Durch eine Verschlüsselung der Mediendaten auf der SD-Karte oder das Speichern der Mediendaten im geschützten Bereich der WhatsApp-Anwendung. So könnten die Nutzerdaten gegen Auslesen und Modifikation geschützt werden. Derzeit kann jede App mit der Berechtigung „READ_EXTERNAL_STORAGE“ die vom WhatsApp Messenger auf der SD-Karte gespeicherten Mediendaten auslesen und z.B. an einen Server versenden. Erhält die App zudem noch die Berechtigung „WRITE_EXTERNAL_STORAGE“, kann sie die Mediendaten sogar manipulieren, noch bevor der Benutzer diese öffnet. Um dies zu verdeutlichen, haben die Sicherheitsforscher mittels einer einfachen App empfangene Bilder auf dem Android-Gerät noch vor dem Öffnen durch den Empfänger gezielt manipuliert. „Mediendaten und Dokumente, die über WhatsApp empfangen werden, sind weder vertraulich noch vertrauenswürdig. Man muss davon ausgehen, dass andere Apps sie auslesen und versenden können oder unbemerkt ihre Inhalte verändern“, so Dr. Julian Schütte vom AISEC.
Über 70% der Apps haben Zugriff auf WhatsApp-Mediendaten
Die AISEC-Forscher analysierten mehr als 16.000 der beliebtesten Apps im Google Play Store und stellten fest, dass ein Großteil über die Berechtigung verfügt, auf den ungeschützten Speicher zuzugreifen, der von WhatsApp genutzt wird. Vor allem Backup- oder „Cleaner“-Tools greifen explizit auf die WhatsApp-Mediendaten zu. Was diese Apps jedoch genau mit den WhatsApp-Daten machen, wurde bislang nicht weiter untersucht. Von 16.764 untersuchten Apps aus dem Play-Store haben 71 % (11.914 Apps) die Berechtigung „READ_EXTERNAL_STORAGE“ und 69,8 % (11.696 Apps) haben die Berechtigung „WRITE_EXTERNAL_STORAGE“.
Vom WhatsApp-Einsatz auf Android-Geräten raten die Forscher dennoch nicht grundsätzlich ab, weisen aber auf einen vorsichtigen Umgang im Unternehmenskontext hin: „Es ist wichtig zu verstehen, dass eine verschlüsselte Verbindung allein noch keine Sicherheit garantiert, wenn die Daten auf dem Endgerät ungeschützt sind“, erklärt Experte Schütte.
Fraunhofer AISEC ist eine der international führenden Einrichtungen für angewandte Forschung im Bereich IT-Sicherheit. Mehr als 90 hochqualifizierte Mitarbeiterinnen und Mitarbeiter arbeiten an maßgeschneiderten Sicherheitskonzepten und Lösungen für Wirtschaftsunternehmen und den öffentlichen Sektor. Dazu zählen Lösungen für eine höhere Datensicherheit sowie für einen wirksamen Schutz vor Cyberkriminalität wie Wirtschaftsspionage und Sabotageangriffe. Das Kompetenzspektrum erstreckt sich von Embedded Security, über Automotive, Network und Smart Grid Security bis hin zum Schutz vor Produktpiraterie und Industrial Security sowie die Absicherung von Cloud-Diensten. Zudem bietet Fraunhofer AISEC in seinen modernen Testlaboren die Möglichkeit zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, von Hard- und Software-Produkten sowie von Web-basierten Diensten und Cloud-Angeboten. Weitere Informationen unter www.aisec.fraunhofer.de.
Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC
Parkring 4
85748 Garching
Telefon: +49 (89) 32299860
Telefax: +49 (89) 3229986299
https://www.aisec.fraunhofer.de
Pressereferent
Telefon: +49 (89) 3229986-169
Fax: +49 (89) 3229986-299
E-Mail: viktor.deleski@aisec.fraunhofer.de