1. Foren
  2. » Kommentare
  3. » Applikationen
  4. » Alle Kommentare zum Artikel
  5. » Messenger: Alternativen zum…

Auch wenn ich das nicht nachvollziehen kann...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Auch wenn ich das nicht nachvollziehen kann...

    Autor abUndAnPoster 15.11.12 - 18:34

    ..., dass es manchen wirklich egal ist, dass es eine gewisse Möglichkeit gibt, um ihre Nachrichten mitzulesen, machen diese sich denn wirklich keine Gedanken, welch Unfug alles noch gemacht werden kann?

    Dadurch, dass whatsapp ne Zeit lang unverschlüsselt übertragen hat, war es möglich das verwendete Protokoll einzusehen und dieses ist mittlerweile bei Paste.bin usw zu finden und es stehen sogar fertige libs im Netz.

    Ich möchte mal zwei Beispiele nennen, was nun möglich ist, aber vorher noch ein Wort an alle, die der Meinung sind, dass es eh nicht möglich ist ihre Nummer oder ihre emei mitzulesen. Was die mac-Adresse angeht, sind wir uns doch wohl alle darüber im klaren, dass diese in den logs der AccessPoints auftauchen, sobald ich mich einmal zum AccessPoint verbunden habe.

    Was emei und Telefonnummer angeht: diese werden immernoch im Protokoll von WhatsApp übertragen, zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich ist dieses wieder rückwärts zu rechnen und dabei an die Daten zu kommen. Und das Knowhow was man dafür braucht, hat jeder heutzutage, denn jeder kann Google bedienen.
    Außerdem können andere Apps sowohl eure Nummer als auch eure emei bzw Mac Adresse direkt zu ihren Servern übertragen.

    Also nun mal zum Beispiel 1:
    Einer jugendlichen/einem jugendlichem wird die emei von einem andere ausgelesen, als dieser mal nachfragt, ob er mal kurz telefonieren dürfte.
    Der/die jugendliche will sich einen "Spaß" erlauben und lädt sich im Netz ein Tool, womit er sich bei whatsapp mit den geklauten daten anmelden kann, um einer dritten Person Nachrichten in dessen Namen zu schicken. Da die 3. Person nichts davon weiß, dass es jemand anders ist, geht sie davon aus, dass die Nachricht nun wirklich von dem Benutzer, dessen Handy Nummer dort steht auch kommt.
    Ihr könnt euch sicherlich vorstellen, was da für Nachrichten kinder im Stande sind zu schicken.

    Zweites Beispiel:
    Ihr installiert euch eine sehr tolle neue App. Sie macht etwas sehr tolles, wie zB euch den Kaffee warm zu halten während ihr surft. Diese app ist kostenlos und der Betreiber verdient nichts daran, sammelt aber schön hübsch daten. Dann kommt der Betreiber auf die Idee "hey die daten kann ich geheim verkaufen und verdiene damit etwas. Unter den daten befindet sich eure Handy Nummer und eure emei. Die Firma datensammel AG, die eure Daten gekauft hat, schreibt sich nun ein kleines Tool, welches sich bei whatsapp einloggt und die Historie herunterlädt und damit noch mehr Telefonnummer und Infos auch über eure Freunde und bekannten hat. Dann kommen sie noch auf die tolle Idee, da sie ja wissen, welches gerät ihr mit welcher OS Version habt Schwachstellen im der firmware zu nutzen und eure Handys mit trojanern zu versorgen. (wenn ich mich nicht irre, war es bei android bis vor kurzem noch möglich über sms das OS zum runterladen von Anwendungen zu überreden). Und von all dem müsst ihr nicht mal was mitbekommen :)

    Ich finde es ehrlich gesagt unverschämt, wie hier einige Leute mit solchen Meldungen umgehen.
    Und ich will auch noch mal sagen, dass es traurig ist, dass der Beitrag nur den Aspekt des mitlesens im gleichen WLAN und nicht auch die von mir genannten Aspekte erwähnt.

    Ich bin weder paranoid noch mach ich mir viel Gedanken über Nachrichten die von mir durch Google indeziert werden, jedoch kann ich nicht damit einverstanden sein, dass jemand anders in der Lage ist anderen in meinem Namen Nachrichten zu schicken.

    Und zum Thema WhatsApp kostet ich bloß 1-2€:
    Ich zahle gerne für eine gute App, welches WhatsApp auch hätte sein können, aber nicht wenn dabei so schlampig entwickelt und mit meinen daten umgegangen wird.

    LG
    abUndAnPoster

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor Esquilax 16.11.12 - 08:23

    > zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich ist dieses
    > wieder rückwärts zu rechnen und dabei an die Daten zu kommen

    autsch...

    Außerdem heißt das IMEI.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor abUndAnPoster 16.11.12 - 09:06

    Natürlich heißt es IMEI... keine Ahnung, was mich da gestern geritten hat...

    was meinst du mit autsch?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor HuhWat 16.11.12 - 13:12

    Esquilax schrieb:
    --------------------------------------------------------------------------------
    > > zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich
    > ist dieses
    > > wieder rückwärts zu rechnen und dabei an die Daten zu kommen
    >
    > autsch...
    >
    > Außerdem heißt das IMEI.

    Falls ich das nun falsch interpretiere tut's mir leid.

    der MD5 gilt schon geraumer Zeit als unsicher, da verschlüsselte Daten mit zumindest einer anderen Attacke als "Brute-Force" in absehbarer Zeit entschlüsselt werden können.

    Ich habe mich erst kürzlich mit Verschlüsselungsalgorithmen beschäftigt, allerdings habe ich die Quellen dieser Information nicht mehr im Kopf (war aber nicht Wikipedia).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor thomato 16.11.12 - 18:47

    Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden. Ein 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.

    Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5 Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist, braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann man aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen beliebig oft wiederverwenden.

    Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders leicht an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch eine andere Anwendung auf dem Phone welche diese verschickt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor abUndAnPoster 16.11.12 - 21:20

    thomato schrieb:
    --------------------------------------------------------------------------------
    > Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr
    > entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden. Ein
    > 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.
    >
    > Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5
    > Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen
    > ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute
    > noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man
    > jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist,
    > braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und
    > auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann man
    > aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen
    > beliebig oft wiederverwenden.
    >
    > Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp
    > nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders leicht
    > an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch eine
    > andere Anwendung auf dem Phone welche diese verschickt.

    Doch die IMEI wird mitgeschickt und zwar als Passwort. Zwar ist das ganze MD5 gehashed, aber es gibt außer der Brute-Force und Rainbow-Angriffen noch die Möglichkeit eine Kollision zu entdecken.

    Zitat:
    "Inzwischen sind die Kollisionsangriffe so weit fortgeschritten, dass eine weitere Nutzung von MD5, insbesondere in solchen Szenarien, in denen der Nutzer nicht die zu signierenden Dateien komplett kontrolliert, abzulehnen ist. Ein 2009 durchgeführter Test des Computermagazins c’t unter Verwendung von GPGPU ermöglicht es einem etwa ein Jahr alten Highend-Spiele-PC mit zwei Nvidia GeForce 9800 GX2 (insgesamt vier Grafikprozessoren), in knapp 35 Minuten eine Kollision zu finden." -> Quelle http://de.wikipedia.org/wiki/Message-Digest_Algorithm_5

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor bassfader 16.11.12 - 22:33

    abUndAnPoster schrieb:
    --------------------------------------------------------------------------------
    > thomato schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr
    > > entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden.
    > Ein
    > > 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.
    > >
    > > Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5
    > > Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen
    > > ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute
    > > noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man
    > > jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist,
    > > braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und
    > > auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann
    > man
    > > aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen
    > > beliebig oft wiederverwenden.
    > >
    > > Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp
    > > nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders
    > leicht
    > > an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch
    > eine
    > > andere Anwendung auf dem Phone welche diese verschickt.
    >
    > Doch die IMEI wird mitgeschickt und zwar als Passwort. Zwar ist das ganze
    > MD5 gehashed, aber es gibt außer der Brute-Force und Rainbow-Angriffen noch
    > die Möglichkeit eine Kollision zu entdecken.

    Das was er dir gerade erklärt hat (einen Wert finden der einen bestimmten Hash ergibt) ist genau das was du sagst, das erzeugen einer Kollision...

    D.h. an die eigentliche IMEI kommt man (außer mit sehr sehr sehr sehr..... viel Glück) über dieses "Passwort" nicht, sondern nur an einen Wert der den selben MD5 Hash erzeugt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Cortana im Test: Gebt Windows Phone eine Stimme
Cortana im Test
Gebt Windows Phone eine Stimme

Mit Windows Phone 8.1 bringt Microsoft nicht nur lange vermisste Funktionen wie die zentrale Benachrichtigungsübersicht auf das Smartphone, sondern auch die Sprachassistentin Cortana. Diese kann den Alltag tatsächlich erleichtern - und singen.

  1. Smartphones Nokia und HTC planen Updates auf Windows Phone 8.1
  2. Ativ SE Samsungs neues Smartphone mit Windows Phone
  3. Microsoft Internet Explorer 11 für Windows Phone

Wolfenstein The New Order: "Als Ein-Mann-Armee gegen eine Übermacht"
Wolfenstein The New Order
"Als Ein-Mann-Armee gegen eine Übermacht"

B. J. Blazkowicz muss demnächst wieder die Welt retten - in einem Wolfenstein aus Schweden. Im Interview hat Golem.de mit Andreas Öjerfors, dem Senior Gameplay Designer, über verbotene Inhalte, die KI und Filmvorbilder von The New Order gesprochen.

  1. The New Order Wolfenstein erscheint ohne inhaltliche Schnitte
  2. Wolfenstein angespielt Agent Blazkowicz in historischer Mission
  3. Bethesda Zugang zur Doom-Beta führt über Wolfenstein

Vorratsdatenspeicherung: Totgesagte speichern länger
Vorratsdatenspeicherung
Totgesagte speichern länger

Die Interpretationen des EuGH-Urteils zur Vorratsdatenspeicherung gehen weit auseinander. Für einen endgültigen Abgesang auf die anlasslose Speicherung von Kommunikationsdaten ist es aber noch zu früh.

  1. Bundesregierung Vorerst kein neues Gesetz zur Vorratsdatenspeicherung
  2. Innenministertreffen Keine schnelle Neuregelung zur Vorratsdatenspeicherung
  3. Urteil zu Vorratsdatenspeicherung Regierung uneins über neues Gesetz

  1. AMD-Vize Lisa Su: Geringe Chancen für 20-Nanometer-GPUs von AMD für 2014
    AMD-Vize Lisa Su
    Geringe Chancen für 20-Nanometer-GPUs von AMD für 2014

    Im Gespräch mit Analysten hat AMD-Vizepräsidentin Lisa Su die Hoffnungen auf eine baldige Verkleinerung der Strukturbreite bei Grafikprozessoren ihres Unternehmens gedämpft. Die Nachfolger der R7- und R9-Grafikkarten dürften demnach wohl erst 2015 erscheinen - eine kleine Hintertür ließ sich Su aber offen.

  2. Bärbel Höhn: Smartphone-Hersteller zu Diebstahl-Sperre zwingen
    Bärbel Höhn
    Smartphone-Hersteller zu Diebstahl-Sperre zwingen

    Eine schnelle Einführung einer Diebstahlsperre für Smartphones könnte per Gesetz kommen. Doch die IMEI-Blockierung ist als Diebstahlschutz umstritten.

  3. Taxi-App: Uber will trotz Verbot in weitere deutsche Städte
    Taxi-App
    Uber will trotz Verbot in weitere deutsche Städte

    Durch ein Verbot in Berlin lässt sich das US-Unternehmen Uber nicht entmutigen. Jetzt will Uberpop in weitere deutsche Städte.


  1. 05:16

  2. 18:28

  3. 16:31

  4. 12:00

  5. 09:20

  6. 16:32

  7. 14:00

  8. 12:02