Messenger: Yuilop stopft Sicherheitslücke bei iOS-App

Problem: Prüfung für neue Software im Appstore kann dauern

Messenger: Yuilop stopft Sicherheitslücke bei iOS-App "Over the Top"-Nachrichtendienste (OTT) wie WhatsApp sind populär. Doch unter Sicherheitsspezialisten ist WhatsApp umstritten, da dessen Nachrichten bei Internetverbindungen über ein öffentlich zugängliches WLAN mit wenig Aufwand von Dritten "mitgelesen" werden können. Nicht nur das: Es soll sogar möglich sein, ein fremdes WhatsApp-Konto zu "entführen" und der eigentlich berechtigte Inhaber habe keine Chance mehr, es zurück zu erhalten, berichtet die Süddeutsche Zeitung.

Auf der Suche nach Alternativen geriet der Anbieter Yuilop in den Mittelpunkt des Interesses. Hier seien die Nachrichten verschlüsselt, teilte das Unternehmen mit, doch der Nachrichtendienst Golem erhielt vom Sicherheitsforscher Thomas Roth den eindeutigen Hinweis, dass zumindest die iOS-Version für Apple iPhone und iPad mit einfachen Mitteln mitzulesen sei, die Text-Nachrichten würden "in unverschlüsseltem XMPP" (einem bei Chat-Programmen weit verbreiteten Protokoll) versendet werden.

Jochen Doppelhammer, Gründer und CEO von Yuilop reagierte über sein Unternehmensblog bereits am nächsten Tag und räumte die Schwachstelle bei der iOS-Variante unumwunden ein.

Problem: Prüfung für neue Software im Appstore kann dauern

In der Nacht von Donnerstag auf Freitag hätten seine Techniker die Schwachstelle gefunden und ein Sicherheits-Update entwickelt, das am Freitag bei Apple zur Freigabe eingereicht werden sollte, zugleich werde bei Apple eine priorisierte Freigabe beantragt, da die Prüfungsfristen für neue Software im Appstore bei Apple bekanntlich länger dauern können.

Doppelhammer betont, dass das Verschlüsselungsproblem von Chats (Textnachrichten) nur bei den "letzten iOS-Versionen für iPhone und iPad" vorhanden gewesen sei. Die aktuelle Version für Android-Smartphones und -Tablets sei davon nicht betroffen. Man habe eine Reihe von Maßnahmen beschlossen, damit technische Schwachstellen der Qualitätssicherung von Yuilop möglichst nicht mehr entgehen. Anwender, die eine Schwachstelle entdecken oder technische Probleme hätten, könnten sich jederzeit unter der Adresse besser(at)yuilop.com an ihn wenden.

Wie bereits in unserem ausführlichen Yuilop-Test berichtet, können Yuilop-Nutzer nicht nur kostenlose Textnachrichten verschicken, sondern auch untereinander telefonieren, wozu eine möglichst stabile Internet-Verbindung via Mobilfunk oder WLAN zur Verfügung stehen muss. Die Rufnummern sind im E-Plus-Netz geschaltet und zu normalen Mobilfunktarifen aus allen Fest- und Mobilnetzen der Welt erreichbar. Nachdem das Unternehmen durch die Insolvenz des Vorlieferanten Telogic seine Dienste vorübergehend nicht mehr anbieten konnte, startet Yuilop inzwischen mit neuen Telefonnummern durch.