Was früher Liebesbriefe und heimlich zugeschobene Zettel in der Schule waren, das sind heute Chats bei Messengern: Wie kaum ein anderes Medium halten sie intime Momente, Gespräche und Bilder fest. Kein Wunder, dass es vielen Menschen ein Bedürfnis ist, diese Chats auch aufzubewahren. Beim Anbieter Zapptales kann man sie in Buchform drucken. Und gewährte damit monatelang auch Dritten Zugang zu ihnen.
Das ist das Ergebnis einer Untersuchung der Sicherheits-Experten von Zerforschung. Die hatten sich neugierig den Prozess vorgenommen, mit dem Nutzer ihre Chats bei dem Anbieter hochladen können. Und nicht schlecht gestaunt, als sie plötzlich Zugriff auf sämtliche über Whatsapp verschickten Chatnachrichten, Fotos und Videos der Nutzer hatten.
Schlüssel mitgeliefert
Schuld ist demnach die Umsetzung des Uploads von Whatsapp-Chats, erklärt Zerforschung in einem Blogpost. Während man die Chats anderer Messenger einfach exportieren kann, nutzt das Unternehmen für den beliebten Messenger dessen Web-Oberfläche Whatsapp Web, um die Chats einzulesen. Dazu mussten die Nutzer ein Programm des Anbieters installieren. Das hatte jedoch eine gigantische Lücke: Es enthielt versehentlich die Möglichkeit, über ein Token auf den Server des Anbieters zuzugreifen und die dort gespeicherten Daten abzurufen.
Einmal eingeloggt, staunten die Sicherheits-Experten nicht schlecht. Sämtliche hochgeladenen Chat-Daten ließen sich abrufen, insgesamt handelte es sich um 21 Terabyte Material. Auch Zehntausende fertige Fotobücher und die zugehörigen Versandadressen waren frei zugänglich. Insgesamt lagen demnach Daten von 69.000 Accounts auf dem Server.
Das sind laut Apple die zehn besten Apps des Jahres
Ein digitales Puppenhaus mit schier unendlichen Möglichkeiten zu spielen - das ist "Toca Life: World". Der Fantasie sind dabei kaum Grenzen gesetzt, solange es im kinderfreundlichen Rahmen bleibt. Dazu kann man auch das Alter der Kleinen eintragen und es durchaus auch mal alleine mit dem Spiel hantieren lassen. Das kostenlose Grundspiel bietet schon sehr viele Möglichkeiten, einige kleinere Käufe erlauben weitere Szenarien und Zusatzgegenstände. Teure Kostenfallen wie bei manchen anderen Spielen gibt es nicht, selbst das teuerste Zusatzset ist mit einem einmaligen Kauf von 13 Euro noch moderat bepreist.
Für die Nutzer von Zapptales und das Unternehmen gibt es aber zunächst gute Nachrichten: Zerforschung hat das Problem gemeldet, die Lücke wurde innerhalb nur eines Tages geschlossen. Man habe gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in den eigenen Datenbanken sicherstellen können, dass niemand außer der Firma selbst und den Sicherheits-Experten auf die Daten zugegriffen hatte, versicherte Zapptales. Wer also ein Buch bestellt hatte, muss sich keine Sorgen um seine Daten machen. Allerdings bemängelt Zerforschung, dass Zapptales seine Kunden selbst nicht über die Lücke informierte. Daher habe man sich letztlich zur Veröffentlichung der bereits im September entdeckten Problematik entschieden, so der Blogpost.
Vertrauen verspielt
Die Sicherheitsforscher stolperten mehr oder weniger durch Zufall über die Datenlücke. "Wir haben von Bekannten gehört, dass das bei Ihren Eltern gerade voll das Ding sei, Bücher mit Chats auszudrucken", erzählte ein Mitglied von Zerforschung dem "Spiegel". Wegen der Intimität der Chats habe man sofort ein schlechtes Gefühl gehabt und mit der Arbeit begonnen. "Ich will auch gar nicht wissen, wie viele Nacktbilder in diesem Datensatz sind", so der Forscher.
Neben den möglichen Auswirkungen einer solchen Sicherheitslücke sehen die Forschenden auch die Wahrnehmung der Nutzer gegenüber Verschlüsselungstechnologien an sich in Gefahr. So würde den Nutzern vermittelt, die Daten seien geschützt, das stimme im Falle von Zapptales aber nur für den Weg auf den Server. "Allerdings werden die Daten nicht so verschlüsselt, dass Zapptales sie nicht mehr lesen könnte", klagen die Experten im Post. "Wir finden dieses Werbeversprechen irreführend, denn es suggeriert, dass die Chats nochmal besonders gesichert wären und so auch vor dem Zugriff von Zapptales geschützt." Dass Unternehmen solle die Daten auch so verschlüsseln, dass die Chats erst in der Druckerei abgerufen würden, um sie dann drucken zu können, so ihr Vorschlag, um die Daten besser zu schützen
Eines der größten Probleme würde aber auch das nicht lösen: Um Sprachnachrichten und Videos in Buchform abdrucken zu können, erhalten diese Nachrichten einen QR-Code, mit dem sie dann per Browser abgerufen werden können - doch dafür müssen die Daten weiter abrufbar auf dem Server liegen. Wer den Code oder den Link findet, hat also ebenfalls Zugriff. Eine einfache Lösung für das Dilemma gebe es nicht, so die Forschenden. Die Firma habe aber zugesagt, die Daten mit einem Pin-Code schützen zu wollen. Leider aber nicht vor Ende des Weihnachtsgeschäfts.
Quellen: Zerforschung, Spiegel
