it-swarm.com.de

Kann ein Arbeitgeber auf WhatsApp-Nachrichten zugreifen, wenn Sie deren Server verwenden?

Weiß jemand, ob ein Arbeitgeber auf WhatsApp-Nachrichten zugreifen kann, wenn Sie seine Server verwenden? WhatsApp sagt anscheinend, dass die Nachrichten verschlüsselt sind, aber ich bin mir nicht sicher.

10
secunda

Das folgende Forschungspapier beschreibt vier Angriffe auf WhatsApp. Ich weiß nicht, ob sie repariert wurden.

Identitätswechselangriff. Ein Angriff ermöglicht es einem Angreifer, sich als jemand anderes auszugeben. Insbesondere wenn der Angreifer eine bestimmte Telefonnummer im Auge hat (die Telefonnummer des Opfers), kann sich der Angreifer für diese Telefonnummer registrieren und alle WhatsApp-Nachrichten empfangen, die möglicherweise für diese Telefonnummer bestimmt waren. Siehe Abschnitt 5.2 des Papiers.

Dies kann für Sie relevant sein.

SMS-Spam-Angriff. Ein zweiter Angriff ermöglicht es einem Angreifer, beliebige Textnachrichten kostenlos von den WhatsApp-Servern an jeden auf der ganzen Welt zu senden. Siehe Abschnitt 5.4 des Papiers.

Angriff auf die Aufzählung von Telefonnummern. Bei einem dritten Angriff kann ein Angreifer die Telefonnummern anderer WhatsApp-Benutzer auflisten und das von ihnen verwendete Betriebssystem identifizieren. Siehe Abschnitt 5.5 des Papiers.

Fälschungsangriff auf Statusnachrichten. Bei einem vierten Angriff kann ein Angreifer die Statusmeldung eines anderen WhatsApp-Benutzers in eine beliebige Nachricht des Angreifers ändern. Siehe Abschnitt 5.6 des Papiers.

Implikationen. Keine dieser Aussagen befasst sich direkt mit der von Ihnen gestellten Frage. Diese Sicherheitsanfälligkeiten beeinträchtigen jedoch mein Vertrauen in die Sicherheit von WhatsApp.

Die in diesem Dokument beschriebenen Sicherheitslücken sind äußerst grundlegende und elementare Mängel. Wir sprechen von Facepalm-Territorium. Zu den Mängeln gehört beispielsweise ein völliger Mangel an Zugangskontrolle oder Authentifizierung; sowie unangemessenes Vertrauen in den Kunden. (Grundsätzlich Verstöße gegen OWASP A3, A8 und A9.) Natürlich kann jeder Fehler machen, aber dies sind so grundlegende Fehler, dass ich mich frage, welche anderen Fehler die WhatsApp-Entwickler gemacht haben könnten und was ist falsch an WhatsApps Sicherheitsüberprüfungsprozess, den diese in die Bereitstellung übernommen haben?.

Aufgrund dieser Analyse würde ich mich daher nur ungern zu stark auf die Sicherheit von WhatsApp verlassen.

14
D.W.

In diesem Artikel wird die WhatsApp-Verschlüsselung als zu schwach und die Behandlung von Sicherheitsproblemen durch das Unternehmen als zu schwach eingestuft:

http://www.h-online.com/security/news/item/Account-theft-still-possible-with-latest-WhatsApp-1760639.html

In diesem Artikel heißt es, dass die Absenderauthentifizierung jetzt robuster ist, die Datenschutzbedenken jedoch weiterhin bestehen:

http://countermeasures.trendmicro.eu/whatsapp-in-violation-of-privacy-law/

1
nicko

WhatsApp ist laut Medien ein recht beliebtes Messaging-System:

WhatsApp verarbeitet ab August 2012 zehn Milliarden Nachrichten pro Tag

Financial Times : WhatsApp "hat getan, um SMS auf Mobiltelefonen, was Skype mit internationalen Anrufen im Festnetz gemacht hat.

Es unterstützt die Verschlüsselung und obwohl es eine Reihe von Sicherheitsvorfällen gibt, würde ich erwarten, dass die Sicherheit hoch ist und Vorfälle, die den oben genannten ähnlich sind, vorübergehend sind und vom Unternehmen verwaltet werden.

Es gibt einen Sonderfall, in dem Ihre Nachrichten gefährdet sein könnten. Dies ist der Fall, wenn Ihr Telefon oder Computer, auf dem Sie WhatsApp verwenden, von Ihrem Arbeitgeber verwaltet wird . Wenn Sie also ein Smartphone von Ihrem Arbeitgeber zur Verfügung gestellt haben, werden Ihre Nachrichten möglicherweise abgefangen.

Zusammenfassend halte ich WhatsApps Datenschutz für vertrauenswürdig. Sie sollten sich mehr um die Sicherheit Ihres Telefons sorgen. Android Smartphones werden insbesondere mit Patches nicht auf dem neuesten Stand gehalten.

1
Cristian Dobre

Führen Sie den folgenden Test auf Ihrem Mobilgerät durch, und Sie können zumindest sicher sein, dass Ihr Gerät nicht so überwacht werden kann.

  1. gehen Sie zu https://www.google.com
  2. Klicken Sie im Browser auf die https-Sperre

Example Screenshot

Wenn ausgegeben an Google Internet Authority G2 , wird https nicht durchdrungen oder MITMA (Man In The Middle Attack) beschäftigt. Wenn es einen anderen Namen wie Ihren Firmennamen gibt, können diese möglicherweise in den https-Verkehr eindringen.

0
Vivo