Auch wenn WhatsApp erst kürzlich sowohl für iOS als auch Android ein Update erfahren hat und man damit die gröbsten Sicherheitslücken geschlossen haben will - die aktuelle Version 2.8.7326 für Android scheint nicht sicher gegen Account-Diebstahl geschützt zu sein.

In Tests von heise Security konnten die Angreifer mit geringem Aufwand einen Account kapern und von diesem sowohl Nachrichten senden als auch empfangen. Alles was für die Übernahme nötig ist, sind die Mobilfunknummer und die Seriennummer (IMEI) des Geräts. Aus diesen beiden Informationen stellt ein einfaches Script die für die WhatsApp-Server nötige Authentifizierung zusammen.

Bislang scheint diese Methode aber nur unter Android zu funktionieren. Die für iOS aktuelle Version 2.8.6 scheint nicht angreifbar zu sein. heise Security hat sich mit dem Anbieter von WhatsApp in Verbindung gesetzt und diesen über die Lücke informiert.

Das Angebot alle vorliegenden Informationen weiterzugeben und damit die Schließung der Lücke zu beschleunigen blieb bislang aber unbeantwortet. Es ist daher auch unklar, ob und wann die Lücke über ein weiteres Update der App geschlossen werden kann.

Es gilt also weiterhin: Sicherheitsrelevante Daten wie Kontonummern oder Passwörter sollten nicht über WhatsApp übertragen werden. Wer nichts dagegen hat, dass die privaten Gespräche potenziell mitgelesen werden können, kann den Dienst natürlich weiterhin verwenden. Allen anderen kann derzeit nur von der Nutzung von WhatsApp abgeraten werden.