WhatsApp News

Nachdem ich letztens noch von den versteckten Kosten berichtet habe, hat heute auch heise.de etwas dazu geschrieben. Auch zu dem hier letztens erwähnten Sicherheitsloch bei der Authentifizierung gibt es Neuigkeiten, denn es sieht so aus, als hätten die Macher dort ein wenig nachgebessert. Leider sind sie allerdings sehr verschwiegen, so dass es keine Bestätigung dafür gibt.

Der Betreiber der beliebten SMS-Alternative WhatsApp hat heimlich Änderungen an seinem Dienst vorgenommen, um eine seit längerer Zeit bekannte Schwachstelle zu stopfen.

WhatsApp “no hidden costs” on Android… NOT!

Vor langer Zeit habe ich mir zum Ausprobieren mal WhatsApp installiert. Der Tipp kam von einem Bekannten und die App hörte sich interessant an. “Damals” war die Verbreitung noch quasi bei 0, gerade einmal drei meiner Kontakte hatten auch einen Account. Nachdem dann nach und nach mehr und mehr meiner Freunde und Bekannten auch angefangen haben sie zu nutzen, ist WhatsApp mittlerweile für mich ein wichtiger Teil der alltäglichen Kommunikation geworden. Leider. Heute wurde ich nämlich darauf hingewiesen, dass meine “Free trial” bald expired und ich ab jetzt 99 Cent pro Jahr zahlen soll. Man kann jetzt viel argumentieren und als Entwickler verstehe ich das auch irgendwo, vorausgesetzt die Software überschreitet eine gewisse Komplexität und Qualität, was aber auf WhatsApp sicherlich nicht zutrifft. Was ich allerdings eine Sauerei finde ist, dass bei meiner ersten Installation nichts von diesen 99 Cent erwähnt wurde und vor allem, dass in der Description der App immer noch steht:

NO HIDDEN COST: Once you and your friends download the application, you can use it to chat as much as you want. Send a million messages a day to your friends for free! WhatsApp uses your Internet connection: 3G/EDGE or Wi-Fi when available.

Dazu gesellt sich mittlerweile allerdings auch noch folgendes, das natürlich geschickt platziert so ist, dass man es schön überliest:

First year FREE! ($0.99/year after)

Ach und auf der Website steht zu dem ganzen Thema natürlich mal gar nichts. Dort findet man nur Sachen wie “Why we don’t sell ads” etc.
Hier wird man also mal wieder schön verarscht :noshake2:

Interessant ist übrigens auch, dass die iPhone Version diese versteckten Kosten nicht beinhaltet. Hier kostet die App zwar einmalig 99 Cent, das war es dann aber auch. Die Diskussion darüber warum das so ist, überlasse ich mal lieber den Verschwörungstheoretikern, aber anmerken wollte ich es auf jeden Fall.

WhatsApp security … Argh!!!

A few weeks ago I had a discussion with a couple of my colleagues about WhatsApp and how they might handle their security. We talked about how they could securely identify their users (knowing that they’re never asking for a password) and created some scenarios about how someone could hack into other people’s accounts.
Now, a few weeks later, one of my colleagues sends me this article by Sam Granger and I’m seriously shocked. We also talked about that exact scenario but I would have never thought they’d be that careless about their user’s security… It’s unbelievable, but you should just read it yourself. Here’s a short quote:

As you probably already heard in recent news, 1,000,001 Apple UDID”™s were leaked. It”™s unfortunate that so many apps use UDID”™s to identify users since it”™s extremely insecure.

This brings me to WhatsApp, a free messaging service, used by millions of people. Their system runs on a modified version of XMPP (Extensible Messaging and Presence Protocol). There is nothing wrong with using XMPP, but there is a problem in how WhatsApp handle authentication.

If you installed WhatsApp on an Android device for example, your password is likely to be an inverse of your phones IMEI number with an MD5 cryptographic hash thrown on top of it (without salt).

md5(strrev(”˜your-imei-goes-here”™))

When I say Android, I don”™t exclusively mean Android. It just happens to be a different case when it comes to iOS. Windows Mobile, Blackberry etc”¦ might very well have the same password method. It actually wouldn”™t surprise me. WhatsApp on the iPhone might be using your IMEI too, or maybe UDID”™s to generate passwords, but not the exact same method. If I do find out, I will update this post.

Then comes the username. It”™s your phone number (doh).

To obtain both these values is rather simple.

Continue reading