Abo
  1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Messenger: Alternativen zum…

Auch wenn ich das nicht nachvollziehen kann...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Auch wenn ich das nicht nachvollziehen kann...

    Autor: abUndAnPoster 15.11.12 - 18:34

    ..., dass es manchen wirklich egal ist, dass es eine gewisse Möglichkeit gibt, um ihre Nachrichten mitzulesen, machen diese sich denn wirklich keine Gedanken, welch Unfug alles noch gemacht werden kann?

    Dadurch, dass whatsapp ne Zeit lang unverschlüsselt übertragen hat, war es möglich das verwendete Protokoll einzusehen und dieses ist mittlerweile bei Paste.bin usw zu finden und es stehen sogar fertige libs im Netz.

    Ich möchte mal zwei Beispiele nennen, was nun möglich ist, aber vorher noch ein Wort an alle, die der Meinung sind, dass es eh nicht möglich ist ihre Nummer oder ihre emei mitzulesen. Was die mac-Adresse angeht, sind wir uns doch wohl alle darüber im klaren, dass diese in den logs der AccessPoints auftauchen, sobald ich mich einmal zum AccessPoint verbunden habe.

    Was emei und Telefonnummer angeht: diese werden immernoch im Protokoll von WhatsApp übertragen, zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich ist dieses wieder rückwärts zu rechnen und dabei an die Daten zu kommen. Und das Knowhow was man dafür braucht, hat jeder heutzutage, denn jeder kann Google bedienen.
    Außerdem können andere Apps sowohl eure Nummer als auch eure emei bzw Mac Adresse direkt zu ihren Servern übertragen.

    Also nun mal zum Beispiel 1:
    Einer jugendlichen/einem jugendlichem wird die emei von einem andere ausgelesen, als dieser mal nachfragt, ob er mal kurz telefonieren dürfte.
    Der/die jugendliche will sich einen "Spaß" erlauben und lädt sich im Netz ein Tool, womit er sich bei whatsapp mit den geklauten daten anmelden kann, um einer dritten Person Nachrichten in dessen Namen zu schicken. Da die 3. Person nichts davon weiß, dass es jemand anders ist, geht sie davon aus, dass die Nachricht nun wirklich von dem Benutzer, dessen Handy Nummer dort steht auch kommt.
    Ihr könnt euch sicherlich vorstellen, was da für Nachrichten kinder im Stande sind zu schicken.

    Zweites Beispiel:
    Ihr installiert euch eine sehr tolle neue App. Sie macht etwas sehr tolles, wie zB euch den Kaffee warm zu halten während ihr surft. Diese app ist kostenlos und der Betreiber verdient nichts daran, sammelt aber schön hübsch daten. Dann kommt der Betreiber auf die Idee "hey die daten kann ich geheim verkaufen und verdiene damit etwas. Unter den daten befindet sich eure Handy Nummer und eure emei. Die Firma datensammel AG, die eure Daten gekauft hat, schreibt sich nun ein kleines Tool, welches sich bei whatsapp einloggt und die Historie herunterlädt und damit noch mehr Telefonnummer und Infos auch über eure Freunde und bekannten hat. Dann kommen sie noch auf die tolle Idee, da sie ja wissen, welches gerät ihr mit welcher OS Version habt Schwachstellen im der firmware zu nutzen und eure Handys mit trojanern zu versorgen. (wenn ich mich nicht irre, war es bei android bis vor kurzem noch möglich über sms das OS zum runterladen von Anwendungen zu überreden). Und von all dem müsst ihr nicht mal was mitbekommen :)

    Ich finde es ehrlich gesagt unverschämt, wie hier einige Leute mit solchen Meldungen umgehen.
    Und ich will auch noch mal sagen, dass es traurig ist, dass der Beitrag nur den Aspekt des mitlesens im gleichen WLAN und nicht auch die von mir genannten Aspekte erwähnt.

    Ich bin weder paranoid noch mach ich mir viel Gedanken über Nachrichten die von mir durch Google indeziert werden, jedoch kann ich nicht damit einverstanden sein, dass jemand anders in der Lage ist anderen in meinem Namen Nachrichten zu schicken.

    Und zum Thema WhatsApp kostet ich bloß 1-2€:
    Ich zahle gerne für eine gute App, welches WhatsApp auch hätte sein können, aber nicht wenn dabei so schlampig entwickelt und mit meinen daten umgegangen wird.

    LG
    abUndAnPoster

  2. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: Esquilax 16.11.12 - 08:23

    > zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich ist dieses
    > wieder rückwärts zu rechnen und dabei an die Daten zu kommen

    autsch...

    Außerdem heißt das IMEI.

  3. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: abUndAnPoster 16.11.12 - 09:06

    Natürlich heißt es IMEI... keine Ahnung, was mich da gestern geritten hat...

    was meinst du mit autsch?

  4. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: HuhWat 16.11.12 - 13:12

    Esquilax schrieb:
    --------------------------------------------------------------------------------
    > > zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich
    > ist dieses
    > > wieder rückwärts zu rechnen und dabei an die Daten zu kommen
    >
    > autsch...
    >
    > Außerdem heißt das IMEI.

    Falls ich das nun falsch interpretiere tut's mir leid.

    der MD5 gilt schon geraumer Zeit als unsicher, da verschlüsselte Daten mit zumindest einer anderen Attacke als "Brute-Force" in absehbarer Zeit entschlüsselt werden können.

    Ich habe mich erst kürzlich mit Verschlüsselungsalgorithmen beschäftigt, allerdings habe ich die Quellen dieser Information nicht mehr im Kopf (war aber nicht Wikipedia).

  5. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: thomato 16.11.12 - 18:47

    Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden. Ein 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.

    Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5 Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist, braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann man aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen beliebig oft wiederverwenden.

    Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders leicht an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch eine andere Anwendung auf dem Phone welche diese verschickt.

  6. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: abUndAnPoster 16.11.12 - 21:20

    thomato schrieb:
    --------------------------------------------------------------------------------
    > Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr
    > entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden. Ein
    > 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.
    >
    > Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5
    > Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen
    > ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute
    > noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man
    > jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist,
    > braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und
    > auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann man
    > aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen
    > beliebig oft wiederverwenden.
    >
    > Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp
    > nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders leicht
    > an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch eine
    > andere Anwendung auf dem Phone welche diese verschickt.

    Doch die IMEI wird mitgeschickt und zwar als Passwort. Zwar ist das ganze MD5 gehashed, aber es gibt außer der Brute-Force und Rainbow-Angriffen noch die Möglichkeit eine Kollision zu entdecken.

    Zitat:
    "Inzwischen sind die Kollisionsangriffe so weit fortgeschritten, dass eine weitere Nutzung von MD5, insbesondere in solchen Szenarien, in denen der Nutzer nicht die zu signierenden Dateien komplett kontrolliert, abzulehnen ist. Ein 2009 durchgeführter Test des Computermagazins c’t unter Verwendung von GPGPU ermöglicht es einem etwa ein Jahr alten Highend-Spiele-PC mit zwei Nvidia GeForce 9800 GX2 (insgesamt vier Grafikprozessoren), in knapp 35 Minuten eine Kollision zu finden." -> Quelle http://de.wikipedia.org/wiki/Message-Digest_Algorithm_5

  7. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: bassfader 16.11.12 - 22:33

    abUndAnPoster schrieb:
    --------------------------------------------------------------------------------
    > thomato schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr
    > > entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden.
    > Ein
    > > 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.
    > >
    > > Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5
    > > Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen
    > > ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute
    > > noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man
    > > jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist,
    > > braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und
    > > auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann
    > man
    > > aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen
    > > beliebig oft wiederverwenden.
    > >
    > > Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp
    > > nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders
    > leicht
    > > an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch
    > eine
    > > andere Anwendung auf dem Phone welche diese verschickt.
    >
    > Doch die IMEI wird mitgeschickt und zwar als Passwort. Zwar ist das ganze
    > MD5 gehashed, aber es gibt außer der Brute-Force und Rainbow-Angriffen noch
    > die Möglichkeit eine Kollision zu entdecken.

    Das was er dir gerade erklärt hat (einen Wert finden der einen bestimmten Hash ergibt) ist genau das was du sagst, das erzeugen einer Kollision...

    D.h. an die eigentliche IMEI kommt man (außer mit sehr sehr sehr sehr..... viel Glück) über dieses "Passwort" nicht, sondern nur an einen Wert der den selben MD5 Hash erzeugt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. blackpoint GmbH, Bad Vilbel
  2. eins energie in sachsen GmbH & Co. KG, Chemnitz
  3. Deutsche Post DHL Group, Bonn
  4. NRW.BANK, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (täglich neue Deals)
  2. (Core i7-6700HQ + Geforce GTX 1070)
  3. und 15€ Cashback erhalten


Haben wir etwas übersehen?

E-Mail an news@golem.de


Udacity: Selbstfahrendes Auto selbst programmieren
Udacity
Selbstfahrendes Auto selbst programmieren
  1. Strategiepapier EU fordert europaweite Standards für vernetzte Autos
  2. Autonomes Fahren Comma One veröffentlicht Baupläne für Geohot-Nachrüstsatz
  3. Autonomes Fahren Intel baut Prozessoren für Delphi und Mobileye

Quake (1996): Urknall für Mouselook, Mods und moderne 3D-Grafik
Quake (1996)
Urknall für Mouselook, Mods und moderne 3D-Grafik
  1. Künstliche Intelligenz Doom geht in Deckung

Oneplus 3T im Test: Schneller, ausdauernder und immer noch günstig
Oneplus 3T im Test
Schneller, ausdauernder und immer noch günstig
  1. Smartphone Oneplus 3T mit 128 GByte wird nicht zu Weihnachten geliefert
  2. Android-Smartphone Oneplus Three wird nach fünf Monaten eingestellt
  3. Oneplus 3T Oneplus bringt Three mit besserem Akku und SoC

  1. Hololens: Microsoft holoportiert Leute aus dem Auto ins Büro
    Hololens
    Microsoft holoportiert Leute aus dem Auto ins Büro

    Einer sitzt im Auto, virtuell aber im Büro bei einem Kollegen, der eine Hololens trägt: Microsoft arbeitet an in Echtzeit übertragbaren Hologrammen, allerdings klappt die Holoportation noch nicht mit mobilem Internet, sondern nur mit WLAN.

  2. Star Wars: Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag
    Star Wars
    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

    Dass Raumfahrt teuer ist, ist bekannt: Ein britisches Unternehmen hat ausgerechnet, was der Todesstern im Unterhalt kostet. Man benötigt schon ein ganzes Imperium, um das zu finanzieren.

  3. NSA-Ausschuss: Wikileaks könnte Bundestagsquelle enttarnt haben
    NSA-Ausschuss
    Wikileaks könnte Bundestagsquelle enttarnt haben

    Bei der Veröffentlichung der Dokumente zum NSA-Ausschuss ist Wikileaks möglicherweise eine Panne passiert. Zudem darf die Staatsanwaltschaft im Bundestag nun wegen Verletzung des Dienstgeheimnisses ermitteln.


  1. 18:27

  2. 18:01

  3. 17:46

  4. 17:19

  5. 16:37

  6. 16:03

  7. 15:34

  8. 15:08