Zapptales: WhatsApp-Chats standen offen im Netz

Bei einem Geschenkeanbieter, der Chats als Buch druckt, gab es eine Sicherheitslücke. Angreifer hätten darüber auf tausende private Unterhaltungen, Bilder und Sprachnachrichten zugreifen können.

Private Chat-Unterhaltungen als Buch drucken lassen, um dieses beispielsweise zu verschenken – das ist die Geschäftsidee der Münchner Firma Zapptales. Doch wegen einer Sicherheitslücke hätten Unbefugte zahlreiche private Daten, die Chats selbst und Kundendaten einsehen können. Das hat das IT-Sicherheitskollektiv “zerforschung” entdeckt. Inzwischen ist die Sicherheitslücke geschlossen.

Bei Zapptales lassen sich Chats aus den Diensten WhatsApp, Telegram, Facebook Messenger, Threema, Instagram und iMessage hochladen. Die Übertragung funktioniert je nach Dienst unterschiedlich: So gibt es beispielsweise eine Desktop-Anwendung, die sich mit dem Smartphone verbindet, um WhatsApp-Chats auszulesen. Diese hatten die Sicherheitsforscher im September untersucht; am heutigen Montag haben sie ihren Bericht zu dem Fall veröffentlicht.

Demnach war in der Anwendung auch der Zugangsschlüssel hinterlegt, um auf die Datenbanken von Zapptales zuzugreifen. Mit diesem konnten die Sicherheitsforscher auf 21 Terabyte an Bildern, Videos und Sprachnachrichten aus den Chats der Kundinnen und Kunden zugreifen – sowie auf zehntausende fertige Bücher im PDF-Format. Unverschlüsselte Chats inklusive Namen und teils Telefonnummern von Gesprächspartnern konnten die Sicherheitsforscher ebenfalls einsehen. Die an den Chats beteiligten Personen wissen unter Umständen nicht, dass ihre Daten bei dem Anbieter hochgeladen wurden.

Kundinnen und Kunden können bei der Gestaltung ihres Buches zwar einzelne Nachrichten ausblenden. Zapptales markiert diese in der Datenbank aber nur, sodass sich auch diese vermeintlich gelöschten Mitteilungen weiterhin einsehen ließen.

Kundendaten einsehbar

Außerdem lagen auf den Servern Informationen darüber, welche Bücher bestellt wurden und an welche Adresse sie geliefert werden sollten. Zum Zeitpunkt der Untersuchung seien 69.000 Kundenkonten davon betroffen gewesen, so zerforschung.

Durch die Sicherheitslücke wäre es Angreifern auch möglich gewesen, beliebige Dateien auf die Server von Zapptales zu laden. So hätte etwa ein manipuliertes Programm veröffentlicht werden können, das Schadsoftware beinhaltet oder von Nutzern hochgeladene Chats direkt auf die Server potenzieller Angreifer überträgt.

In den Chats enthaltene Sprachnachrichten und Videos werden in den Büchern durch gedruckte QR-Codes ersetzt, damit Kundinnen und Kunden sowie Beschenkte darauf online zugreifen können. Zerforschung kritisiert, dass jeder auf die Medien Zugriff hätte, der den Code abscannt – beispielsweise, wenn das Buch offen herumliegt oder im Müll landet. Das Unternehmen teilte den Sicherheitsforschern mit, in Zukunft solle eine PIN-Eingabe die fraglichen Inhalte schützen. Bislang sei dies aber noch nicht umgesetzt worden.

Nachdem die Sicherheitsforscher Ende September die Probleme entdeckt hatten, informierten sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bayerische Landesamt für Datenschutzaufsicht, die wiederum den Hersteller kontaktierten. Einen Tag nach dem Hinweis von zerforschung hatte der Anbieter die in der Anwendung enthaltenen Zugangsdaten deaktiviert. Einen weiteren Tag später wurde zudem eine neue Programm-Version veröffentlicht, die keine Zugangsdaten mehr enthält.

Verschlüsselung wird untergraben

Zapptales hatte die Sicherheitslücke Anfang Oktober in einem Blogeintrag bestätigt. Das Unternehmen teilte mit, eine gemeinsame Prüfung mit dem Landesamt für Datenschutzaufsicht habe ergeben, dass die Schwachstelle nicht ausgenutzt und keine Daten entwendet wurden. Die Kunden seien in Rücksprache mit dem Datenschützer nicht einzeln informiert worden. Die Sicherheitsforscher kritisieren diese Entscheidung.

Das Unternehmen verarbeite “hochprivate Inhalte” und “ermuntere” dazu, diese unverschlüsselt hochzuladen. Damit stehe es in “großer Verantwortung, die Daten gut zu schützen”, schrieb zerforschung. Technisch wäre es möglich, die Daten bis zum Druck des Buches verschlüsselt zu speichern – dann hätten auch die Sicherheitsexperten keinen Einblick in die Daten erhalten. “Fotos, Videos, Sprachnachrichten und den Chatverlauf eines gekauften Buches auf unbestimmte Zeit und unverschlüsselt im Internet liegen zu lassen, ist hingegen unverantwortlich”, kritisieren sie.

Der Bundesdatenschutzbeauftragte Ulrich Kelber kommentierte auf Twitter: “Wenn man seine Daten unverschlüsselt für ein Buch hochlädt, dann untergräbt das den Sinn der Ende-zu-Ende-Verschlüsselung.”

Und die Sicherheitsforscher haben noch einen weiteren Kritikpunkt: Andere an den Chats beteiligte Personen haben keine Möglichkeit herauszufinden, ob ihre Unterhaltungen bei Zapptales hochgeladen und verarbeitet wurden. Kelber mahnte: “Andere Gesprächsteilnehmer wollen vielleicht nicht, dass ihre Nachrichten, Bilder oder sonstige Inhalte weitergegeben und in andere Medien (wie Bücher) übertragen werden. Haben Sie wirklich die Zustimmung dafür?” (js)