1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Messenger: Alternativen zum…

Auch wenn ich das nicht nachvollziehen kann...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Auch wenn ich das nicht nachvollziehen kann...

    Autor abUndAnPoster 15.11.12 - 18:34

    ..., dass es manchen wirklich egal ist, dass es eine gewisse Möglichkeit gibt, um ihre Nachrichten mitzulesen, machen diese sich denn wirklich keine Gedanken, welch Unfug alles noch gemacht werden kann?

    Dadurch, dass whatsapp ne Zeit lang unverschlüsselt übertragen hat, war es möglich das verwendete Protokoll einzusehen und dieses ist mittlerweile bei Paste.bin usw zu finden und es stehen sogar fertige libs im Netz.

    Ich möchte mal zwei Beispiele nennen, was nun möglich ist, aber vorher noch ein Wort an alle, die der Meinung sind, dass es eh nicht möglich ist ihre Nummer oder ihre emei mitzulesen. Was die mac-Adresse angeht, sind wir uns doch wohl alle darüber im klaren, dass diese in den logs der AccessPoints auftauchen, sobald ich mich einmal zum AccessPoint verbunden habe.

    Was emei und Telefonnummer angeht: diese werden immernoch im Protokoll von WhatsApp übertragen, zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich ist dieses wieder rückwärts zu rechnen und dabei an die Daten zu kommen. Und das Knowhow was man dafür braucht, hat jeder heutzutage, denn jeder kann Google bedienen.
    Außerdem können andere Apps sowohl eure Nummer als auch eure emei bzw Mac Adresse direkt zu ihren Servern übertragen.

    Also nun mal zum Beispiel 1:
    Einer jugendlichen/einem jugendlichem wird die emei von einem andere ausgelesen, als dieser mal nachfragt, ob er mal kurz telefonieren dürfte.
    Der/die jugendliche will sich einen "Spaß" erlauben und lädt sich im Netz ein Tool, womit er sich bei whatsapp mit den geklauten daten anmelden kann, um einer dritten Person Nachrichten in dessen Namen zu schicken. Da die 3. Person nichts davon weiß, dass es jemand anders ist, geht sie davon aus, dass die Nachricht nun wirklich von dem Benutzer, dessen Handy Nummer dort steht auch kommt.
    Ihr könnt euch sicherlich vorstellen, was da für Nachrichten kinder im Stande sind zu schicken.

    Zweites Beispiel:
    Ihr installiert euch eine sehr tolle neue App. Sie macht etwas sehr tolles, wie zB euch den Kaffee warm zu halten während ihr surft. Diese app ist kostenlos und der Betreiber verdient nichts daran, sammelt aber schön hübsch daten. Dann kommt der Betreiber auf die Idee "hey die daten kann ich geheim verkaufen und verdiene damit etwas. Unter den daten befindet sich eure Handy Nummer und eure emei. Die Firma datensammel AG, die eure Daten gekauft hat, schreibt sich nun ein kleines Tool, welches sich bei whatsapp einloggt und die Historie herunterlädt und damit noch mehr Telefonnummer und Infos auch über eure Freunde und bekannten hat. Dann kommen sie noch auf die tolle Idee, da sie ja wissen, welches gerät ihr mit welcher OS Version habt Schwachstellen im der firmware zu nutzen und eure Handys mit trojanern zu versorgen. (wenn ich mich nicht irre, war es bei android bis vor kurzem noch möglich über sms das OS zum runterladen von Anwendungen zu überreden). Und von all dem müsst ihr nicht mal was mitbekommen :)

    Ich finde es ehrlich gesagt unverschämt, wie hier einige Leute mit solchen Meldungen umgehen.
    Und ich will auch noch mal sagen, dass es traurig ist, dass der Beitrag nur den Aspekt des mitlesens im gleichen WLAN und nicht auch die von mir genannten Aspekte erwähnt.

    Ich bin weder paranoid noch mach ich mir viel Gedanken über Nachrichten die von mir durch Google indeziert werden, jedoch kann ich nicht damit einverstanden sein, dass jemand anders in der Lage ist anderen in meinem Namen Nachrichten zu schicken.

    Und zum Thema WhatsApp kostet ich bloß 1-2€:
    Ich zahle gerne für eine gute App, welches WhatsApp auch hätte sein können, aber nicht wenn dabei so schlampig entwickelt und mit meinen daten umgegangen wird.

    LG
    abUndAnPoster

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor Esquilax 16.11.12 - 08:23

    > zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich ist dieses
    > wieder rückwärts zu rechnen und dabei an die Daten zu kommen

    autsch...

    Außerdem heißt das IMEI.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor abUndAnPoster 16.11.12 - 09:06

    Natürlich heißt es IMEI... keine Ahnung, was mich da gestern geritten hat...

    was meinst du mit autsch?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor HuhWat 16.11.12 - 13:12

    Esquilax schrieb:
    --------------------------------------------------------------------------------
    > > zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich
    > ist dieses
    > > wieder rückwärts zu rechnen und dabei an die Daten zu kommen
    >
    > autsch...
    >
    > Außerdem heißt das IMEI.

    Falls ich das nun falsch interpretiere tut's mir leid.

    der MD5 gilt schon geraumer Zeit als unsicher, da verschlüsselte Daten mit zumindest einer anderen Attacke als "Brute-Force" in absehbarer Zeit entschlüsselt werden können.

    Ich habe mich erst kürzlich mit Verschlüsselungsalgorithmen beschäftigt, allerdings habe ich die Quellen dieser Information nicht mehr im Kopf (war aber nicht Wikipedia).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor thomato 16.11.12 - 18:47

    Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden. Ein 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.

    Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5 Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist, braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann man aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen beliebig oft wiederverwenden.

    Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders leicht an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch eine andere Anwendung auf dem Phone welche diese verschickt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor abUndAnPoster 16.11.12 - 21:20

    thomato schrieb:
    --------------------------------------------------------------------------------
    > Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr
    > entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden. Ein
    > 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.
    >
    > Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5
    > Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen
    > ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute
    > noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man
    > jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist,
    > braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und
    > auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann man
    > aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen
    > beliebig oft wiederverwenden.
    >
    > Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp
    > nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders leicht
    > an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch eine
    > andere Anwendung auf dem Phone welche diese verschickt.

    Doch die IMEI wird mitgeschickt und zwar als Passwort. Zwar ist das ganze MD5 gehashed, aber es gibt außer der Brute-Force und Rainbow-Angriffen noch die Möglichkeit eine Kollision zu entdecken.

    Zitat:
    "Inzwischen sind die Kollisionsangriffe so weit fortgeschritten, dass eine weitere Nutzung von MD5, insbesondere in solchen Szenarien, in denen der Nutzer nicht die zu signierenden Dateien komplett kontrolliert, abzulehnen ist. Ein 2009 durchgeführter Test des Computermagazins c’t unter Verwendung von GPGPU ermöglicht es einem etwa ein Jahr alten Highend-Spiele-PC mit zwei Nvidia GeForce 9800 GX2 (insgesamt vier Grafikprozessoren), in knapp 35 Minuten eine Kollision zu finden." -> Quelle http://de.wikipedia.org/wiki/Message-Digest_Algorithm_5

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor bassfader 16.11.12 - 22:33

    abUndAnPoster schrieb:
    --------------------------------------------------------------------------------
    > thomato schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr
    > > entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden.
    > Ein
    > > 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.
    > >
    > > Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5
    > > Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen
    > > ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute
    > > noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man
    > > jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist,
    > > braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und
    > > auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann
    > man
    > > aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen
    > > beliebig oft wiederverwenden.
    > >
    > > Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp
    > > nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders
    > leicht
    > > an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch
    > eine
    > > andere Anwendung auf dem Phone welche diese verschickt.
    >
    > Doch die IMEI wird mitgeschickt und zwar als Passwort. Zwar ist das ganze
    > MD5 gehashed, aber es gibt außer der Brute-Force und Rainbow-Angriffen noch
    > die Möglichkeit eine Kollision zu entdecken.

    Das was er dir gerade erklärt hat (einen Wert finden der einen bestimmten Hash ergibt) ist genau das was du sagst, das erzeugen einer Kollision...

    D.h. an die eigentliche IMEI kommt man (außer mit sehr sehr sehr sehr..... viel Glück) über dieses "Passwort" nicht, sondern nur an einen Wert der den selben MD5 Hash erzeugt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Sony RX100 Mark III im Test: Klein, super, teuer
Sony RX100 Mark III im Test
Klein, super, teuer
  1. Custom ROM Sonys Bootloader einfacher zu entsperren
  2. Sony Xperia T3 kommt als Xperia Style für 350 Euro
  3. Auge als Vorbild Sony entwickelt gekrümmte Kamerasensoren

Programmcode: Ist das Kunst?
Programmcode
Ist das Kunst?
  1. Suchmaschinen Deutsche IT-Branche hofft auf Ende von Googles Vorherrschaft
  2. Quartalsbericht Google steigert Umsatz um 22 Prozent
  3. Project Zero Google baut Internet-Sicherheitsteam auf

Android L im Test: Google verflacht Android
Android L im Test
Google verflacht Android
  1. Android L Keine Updates für Entwicklervorschau geplant
  2. Inoffizieller Port Android L ist für das Nexus 4 verfügbar
  3. Android L Cyanogenmod entwickelt nicht anhand der Entwicklervorschau

  1. Lufthansa Taxibot: Piloten schleppen ihre Flugzeuge bald selbst zur Startbahn
    Lufthansa Taxibot
    Piloten schleppen ihre Flugzeuge bald selbst zur Startbahn

    Die Lufthansa will ihre Flugzeuge nicht mehr mit Hilfe der Triebwerke zur Startbahn rollen. Dank des "Pilot Control Mode" übernimmt der Pilot die Steuerung des neuen Taxibot-Schleppers, während der Fahrer des Schleppers zur Startbahn kutschiert wird.

  2. Geheimdienste: USA und Deutschland wollen Leitlinien vereinbaren
    Geheimdienste
    USA und Deutschland wollen Leitlinien vereinbaren

    Krisengipfel im Bundeskanzleramt: Der Stabschef des Weißen Hauses und Obamas Sicherheitsberaterin sind nach Berlin gekommen. Ein "strukturierter Dialog" sei vereinbart worden.

  3. Geheimdienste: DE-CIX bei manipulierter Hardware machtlos gegen Spionage
    Geheimdienste
    DE-CIX bei manipulierter Hardware machtlos gegen Spionage

    Eine Frankfurter Wirtschaftsvereinigung sieht die Betreiber des DE-CIX schuldlos an der Überwachung und Spionage an dem Internetknoten. Die Betreiber bekämen davon nichts mit.


  1. 18:25

  2. 18:09

  3. 17:34

  4. 16:31

  5. 16:05

  6. 16:00

  7. 15:48

  8. 15:28