1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Messenger: Alternativen zum…

Auch wenn ich das nicht nachvollziehen kann...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Auch wenn ich das nicht nachvollziehen kann...

    Autor: abUndAnPoster 15.11.12 - 18:34

    ..., dass es manchen wirklich egal ist, dass es eine gewisse Möglichkeit gibt, um ihre Nachrichten mitzulesen, machen diese sich denn wirklich keine Gedanken, welch Unfug alles noch gemacht werden kann?

    Dadurch, dass whatsapp ne Zeit lang unverschlüsselt übertragen hat, war es möglich das verwendete Protokoll einzusehen und dieses ist mittlerweile bei Paste.bin usw zu finden und es stehen sogar fertige libs im Netz.

    Ich möchte mal zwei Beispiele nennen, was nun möglich ist, aber vorher noch ein Wort an alle, die der Meinung sind, dass es eh nicht möglich ist ihre Nummer oder ihre emei mitzulesen. Was die mac-Adresse angeht, sind wir uns doch wohl alle darüber im klaren, dass diese in den logs der AccessPoints auftauchen, sobald ich mich einmal zum AccessPoint verbunden habe.

    Was emei und Telefonnummer angeht: diese werden immernoch im Protokoll von WhatsApp übertragen, zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich ist dieses wieder rückwärts zu rechnen und dabei an die Daten zu kommen. Und das Knowhow was man dafür braucht, hat jeder heutzutage, denn jeder kann Google bedienen.
    Außerdem können andere Apps sowohl eure Nummer als auch eure emei bzw Mac Adresse direkt zu ihren Servern übertragen.

    Also nun mal zum Beispiel 1:
    Einer jugendlichen/einem jugendlichem wird die emei von einem andere ausgelesen, als dieser mal nachfragt, ob er mal kurz telefonieren dürfte.
    Der/die jugendliche will sich einen "Spaß" erlauben und lädt sich im Netz ein Tool, womit er sich bei whatsapp mit den geklauten daten anmelden kann, um einer dritten Person Nachrichten in dessen Namen zu schicken. Da die 3. Person nichts davon weiß, dass es jemand anders ist, geht sie davon aus, dass die Nachricht nun wirklich von dem Benutzer, dessen Handy Nummer dort steht auch kommt.
    Ihr könnt euch sicherlich vorstellen, was da für Nachrichten kinder im Stande sind zu schicken.

    Zweites Beispiel:
    Ihr installiert euch eine sehr tolle neue App. Sie macht etwas sehr tolles, wie zB euch den Kaffee warm zu halten während ihr surft. Diese app ist kostenlos und der Betreiber verdient nichts daran, sammelt aber schön hübsch daten. Dann kommt der Betreiber auf die Idee "hey die daten kann ich geheim verkaufen und verdiene damit etwas. Unter den daten befindet sich eure Handy Nummer und eure emei. Die Firma datensammel AG, die eure Daten gekauft hat, schreibt sich nun ein kleines Tool, welches sich bei whatsapp einloggt und die Historie herunterlädt und damit noch mehr Telefonnummer und Infos auch über eure Freunde und bekannten hat. Dann kommen sie noch auf die tolle Idee, da sie ja wissen, welches gerät ihr mit welcher OS Version habt Schwachstellen im der firmware zu nutzen und eure Handys mit trojanern zu versorgen. (wenn ich mich nicht irre, war es bei android bis vor kurzem noch möglich über sms das OS zum runterladen von Anwendungen zu überreden). Und von all dem müsst ihr nicht mal was mitbekommen :)

    Ich finde es ehrlich gesagt unverschämt, wie hier einige Leute mit solchen Meldungen umgehen.
    Und ich will auch noch mal sagen, dass es traurig ist, dass der Beitrag nur den Aspekt des mitlesens im gleichen WLAN und nicht auch die von mir genannten Aspekte erwähnt.

    Ich bin weder paranoid noch mach ich mir viel Gedanken über Nachrichten die von mir durch Google indeziert werden, jedoch kann ich nicht damit einverstanden sein, dass jemand anders in der Lage ist anderen in meinem Namen Nachrichten zu schicken.

    Und zum Thema WhatsApp kostet ich bloß 1-2€:
    Ich zahle gerne für eine gute App, welches WhatsApp auch hätte sein können, aber nicht wenn dabei so schlampig entwickelt und mit meinen daten umgegangen wird.

    LG
    abUndAnPoster

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: Esquilax 16.11.12 - 08:23

    > zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich ist dieses
    > wieder rückwärts zu rechnen und dabei an die Daten zu kommen

    autsch...

    Außerdem heißt das IMEI.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: abUndAnPoster 16.11.12 - 09:06

    Natürlich heißt es IMEI... keine Ahnung, was mich da gestern geritten hat...

    was meinst du mit autsch?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: HuhWat 16.11.12 - 13:12

    Esquilax schrieb:
    --------------------------------------------------------------------------------
    > > zwar sind diese md5 gehashed, aber ihr solltet wissen, dass es möglich
    > ist dieses
    > > wieder rückwärts zu rechnen und dabei an die Daten zu kommen
    >
    > autsch...
    >
    > Außerdem heißt das IMEI.

    Falls ich das nun falsch interpretiere tut's mir leid.

    der MD5 gilt schon geraumer Zeit als unsicher, da verschlüsselte Daten mit zumindest einer anderen Attacke als "Brute-Force" in absehbarer Zeit entschlüsselt werden können.

    Ich habe mich erst kürzlich mit Verschlüsselungsalgorithmen beschäftigt, allerdings habe ich die Quellen dieser Information nicht mehr im Kopf (war aber nicht Wikipedia).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: thomato 16.11.12 - 18:47

    Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden. Ein 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.

    Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5 Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist, braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann man aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen beliebig oft wiederverwenden.

    Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders leicht an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch eine andere Anwendung auf dem Phone welche diese verschickt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: abUndAnPoster 16.11.12 - 21:20

    thomato schrieb:
    --------------------------------------------------------------------------------
    > Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr
    > entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden. Ein
    > 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.
    >
    > Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5
    > Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen
    > ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute
    > noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man
    > jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist,
    > braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und
    > auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann man
    > aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen
    > beliebig oft wiederverwenden.
    >
    > Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp
    > nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders leicht
    > an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch eine
    > andere Anwendung auf dem Phone welche diese verschickt.

    Doch die IMEI wird mitgeschickt und zwar als Passwort. Zwar ist das ganze MD5 gehashed, aber es gibt außer der Brute-Force und Rainbow-Angriffen noch die Möglichkeit eine Kollision zu entdecken.

    Zitat:
    "Inzwischen sind die Kollisionsangriffe so weit fortgeschritten, dass eine weitere Nutzung von MD5, insbesondere in solchen Szenarien, in denen der Nutzer nicht die zu signierenden Dateien komplett kontrolliert, abzulehnen ist. Ein 2009 durchgeführter Test des Computermagazins c’t unter Verwendung von GPGPU ermöglicht es einem etwa ein Jahr alten Highend-Spiele-PC mit zwei Nvidia GeForce 9800 GX2 (insgesamt vier Grafikprozessoren), in knapp 35 Minuten eine Kollision zu finden." -> Quelle http://de.wikipedia.org/wiki/Message-Digest_Algorithm_5

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Auch wenn ich das nicht nachvollziehen kann...

    Autor: bassfader 16.11.12 - 22:33

    abUndAnPoster schrieb:
    --------------------------------------------------------------------------------
    > thomato schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das ist nicht ganz richtig. Man kann einen MD5 Hash nicht mehr
    > > entschlüsseln, die Daten sind ja auch überhaupt nicht mehr vorhanden.
    > Ein
    > > 128 Bit MD5 Hash hat immer genau 128 Bit an Daten.
    > >
    > > Was Du meinst ist, das man per Brute-Force eine riesige Menge von MD5
    > > Hashes erzeugt und schaut ob irgendeiner davon gleich dem ist, dessen
    > > ursprünglichen Wert ich wissen möchte. Das geht, braucht aber auch heute
    > > noch unheimlich lange wenn man nicht genau weiß was man sucht. Wenn man
    > > jetzt wie bei einer IMEI weiß das es nur eine 15 Stellige Nummer ist,
    > > braucht man dafür mindestens 1 Monat um seine Tabellen zu erstellen (Und
    > > auch entsprechend Platz um die Hash Werte zu speichern). Dannach kann
    > man
    > > aber sehr schnell die IMEI zu einem MD5 Hash finden und diese Tabellen
    > > beliebig oft wiederverwenden.
    > >
    > > Das ist aber bei Whatsapp nicht das Problem. Die IMEI wird von WhatsApp
    > > nicht bei Nachrichten mitgesendet. Das Problem ist, das man anders
    > leicht
    > > an die IMEI kommen kann. Z.B. durch einfaches abschreiben oder durch
    > eine
    > > andere Anwendung auf dem Phone welche diese verschickt.
    >
    > Doch die IMEI wird mitgeschickt und zwar als Passwort. Zwar ist das ganze
    > MD5 gehashed, aber es gibt außer der Brute-Force und Rainbow-Angriffen noch
    > die Möglichkeit eine Kollision zu entdecken.

    Das was er dir gerade erklärt hat (einen Wert finden der einen bestimmten Hash ergibt) ist genau das was du sagst, das erzeugen einer Kollision...

    D.h. an die eigentliche IMEI kommt man (außer mit sehr sehr sehr sehr..... viel Glück) über dieses "Passwort" nicht, sondern nur an einen Wert der den selben MD5 Hash erzeugt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Test Dragon Age Inquisition: Grand Theft Fantasy
Test Dragon Age Inquisition
Grand Theft Fantasy
  1. Technik-Test Dragon Age Inquisition Drachentöten flott gemacht
  2. Dragon Age Inquisition Zusatzabenteuer für den Weltengenerator
  3. Dragon Age Inquisition Rollenspiel mit 4K am PC und 900p auf der Xbox One

Core M-5Y70 im Test: Vom Turbo zur Vollbremsung
Core M-5Y70 im Test
Vom Turbo zur Vollbremsung
  1. Benchmark Apple und Nvidia schlagen manchmal Intels Core M
  2. Prozessor Schnellster Core M erreicht bis zu 2,9 GHz
  3. Die-Analyse Intels Core M besteht aus 13 Schichten

Intel Edison ausprobiert: Ich seh dich - das Mona-Lisa-Projekt
Intel Edison ausprobiert
Ich seh dich - das Mona-Lisa-Projekt
  1. Intel Edison Kleinrechner mit Arduino-ähnlichem Board als Breakout

  1. Nick Hayek: Swatch-Chef hat keine Angst vor der Apple Watch
    Nick Hayek
    Swatch-Chef hat keine Angst vor der Apple Watch

    Die Apple Watch wird irgendwann 2015 auf den Markt kommen, doch schon jetzt lässt Nick Hayek, Chef des Schweizer Uhrenkonzern Swatch, kein gutes Haar an Apples Entwicklung. Derweil hat Apple neue Details zu seiner Uhr verraten.

  2. Hdmyboy: HDMI-Ausgang für den ersten grauen Gameboy
    Hdmyboy
    HDMI-Ausgang für den ersten grauen Gameboy

    Gameboy-Spiele auf dem Fernseher laufen mit Emulatoren schon lange. Richtig retro ist es aber, einen originalen Gameboy und einen Controller im Nintendo-Stil zu verwenden. Das meinen zumindest zwei Brüder, die auf Kickstarter ein Projekt für einen HDMI-Port an einem echten Gameboy gestartet haben.

  3. Merkel-Handy: NSA-Ausschuss kritisiert Stopp von Ermittlungen
    Merkel-Handy
    NSA-Ausschuss kritisiert Stopp von Ermittlungen

    Die Strafermittlung wegen der Überwachung des Kanzlerinnenhandys soll eingestellt werden. Das gefällt dem NSA-Ausschuss überhaupt nicht.


  1. 23:12

  2. 20:41

  3. 20:35

  4. 20:16

  5. 19:02

  6. 18:51

  7. 18:00

  8. 17:39