Egal ob für iOS oder Android: Der Messagingdienst WhatsApp ist nur im ersten Jahr kostenlos und verlangt danach für die weitere Nutzung meist 99 Cent. Laut der Berliner Sicherheitsfirma Curesec ist die Bezahlfunktion unter Android allerdings alles andere als sicher.

Wer sein WhatsApp-Abo bislang verlängern wollte, wurde auf eine Webseite geleitet, bei der er die Zahlungsart auswählen konnte. Die Bezahlung über Google Wallet und Paypal ist allerdings nicht durchgehend über HTTPS verschlüsselt.

Diese Schwachstelle kann von Dritten ausgenutzt werden, indem sie den WhatsApp-Nutzer beispielsweise auf eine andere Webseite weiterleiten. Als „Man-in-the-middle“ könnten Angreifer die vollständige Kontrolle über den Datenverkehr zwischen WhatsApp und dessen Nutzer kontrollieren und alle Eingaben nach Belieben einsehen und manipulieren.

Wird der Nutzer nichts ahnend an eine Phishing-Seite weitergeleitet und tätigt vermeintlich seine Zahlung für die Verlängerung des Abos, könnten Kreditkarten- und PayPal-Daten abgegriffen werden.

Die Verlängerung des WhatsApp-Abos sollte damit bis zur Behebung der Sicherheitslücke vorsichtshalber in einem vertrauenswürdigen Netz getätigt werden.