WhatsApp wird immer sicherer. Das zumindest versucht uns das Unternehmen immer wieder zu vermitteln. Tatsächlich hat sich in letzter Zeit in dem Punkt viel getan. Jetzt soll man die wichtigsten Sicherheitseinstellungen auch auf dem PC und im Web verändern können. Dabei zeigt sich aber eine Schwachstelle, die es schon seit längerer Zeit gibt.
WhatsApp: Zwei-Faktor-Authentifizierung wird ausgebaut
Seit einigen Jahren kann man WhatsApp mit einer Zwei-Faktor-Authentifizierung absichern. Man muss dafür einen sechsstelligen PIN vergeben und eine E-Mail-Adresse hinterlegen. Verliert man sein Handy, soll das sicherstellen, dass man wieder auf seinen WhatsApp-Account zugreifen kann. Seit einiger Zeit lässt sich WhatsApp aber auch auf mehreren Geräten gleichzeitig verwenden. Deswegen will das Unternehmen die Sicherheitseinstellungen bald auch vom PC und in WhatsApp Web zugänglich machen:
Sollte man also sein Smartphone verlieren, kann man über die App oder im Web noch auf die Einstellungen zugreifen und diese verändern. Hat man vergessen den PIN zu aktivieren, kann man das so im schlimmsten Fall noch nachholen und hoffen, dass der WhatsApp-Account so abgesichert wird.
Das Problem bei der Geschichte ist aber, dass der PIN nicht immer abgefragt wird. Nur in unregelmäßigen Abständen muss man den sechsstelligen PIN beim Nutzen von WhatsApp eingeben – bei mir gefühlt ein bis zwei Mal in der Woche, wenn überhaupt. Das Schlimmste ist aber, dass man den PIN und die E-Mail-Adresse in WhatsApp einfach ändern kann, ohne den PIN eingeben zu müssen. Bekommt man also Zugriff auf ein Smartphone, kann man beides ohne Zustimmung des Besitzers ändern und den Account kapern. WhatsApp müsste vor dem Ändern der Einstellungen auf jeden Fall den PIN abfragen. Ansonsten haben Angreifer leichtes Spiel.
Die besten WhatsApp-Alternativen:
WhatsApp-Backups endlich verschlüsselt
Seit einigen Monaten kann man zudem das Backup in WhatsApp, das bei Google Drive oder in der iCloud von Apple gespeichert wird, verschlüsseln. Das sollte man auch unbedingt tun, denn sonst können die Daten dort einfach eingesehen werden. Funktioniert leider nicht automatisch, sodass ihr selbst aktiv werden müsst.