Die von Tobias Boelter gefundene Lücke bei der Verschlüsselung von Nachrichten wird von WhatsApp als besonderes Merkmal und nicht als Lücke angepriesen.
Die Sicherheitslücke bei der Verschlüsselung von Nachrichten wird von WhatsApp als besonderes Merkmal und nicht als Lücke dargestellt. Tobias Boelter, der in Köln und Karlsruhe studiert hat, fand schon vor 9 Monaten einen Bug beim Messenger WhatsApp, der zum Belauschen der Kommunikation benutzt werden kann. WhatsApp ist informiert und hat seit April 2016 nichts unternommen.
Tobias Boelter entdeckt Schwachstelle bei WhatsApp
Im Gegensatz zu anderen Messenger-Diensten generiert WhatsApp automatisch einen neuen Schlüssel, sofern der Empfänger nicht erreichbar war und nun einen neuen Schlüssel benutzt. Anderenfalls wären die Texte, Bilder, Videos für den Empfänger nicht lesbar.
Dieses Vorgehen sieht Boelter als problematisch an. Zwar könne man aufgrund dieser Sicherheitslücke nicht die bereits zugestellten Nachrichten einsehen. Wohl aber alle, die noch auf eine erfolgreiche Zustellung warten. In dem Fall müsste WhatsApp einfach ohne Grund einen neuen Schlüssel übermitteln, damit US-Behörden, Geheimdienste etc. die Kommunikation mitlesen können. Der Anwender würde davon nichts mitbekommen.
Es gebe laut Tobias Boelter keine Beweise dafür, dass schon mal jemand die Lücke ausgenutzt hat. So zum Beispiel auf Anweisung einer Behörde oder eines Geheimdienstes. Die App Signal geht mit dieser Problematik anders um. Können Nachrichten wegen eines neuen Schlüssels des Empfängers nicht übermittelt werden, informiert einen die Software darüber. Dann kann man manuell erneut versuchen, die Nachricht zuzustellen. In dem Fall tauschen die beiden Kommunikationspartner erneut ihren Schlüssel aus, um jedes Mitlesen Dritter unmöglich zu machen. Dies geschieht bei WhatsApp automatisch im Hintergrund.
Betreibergesellschaft reagiert nicht
Boelter hat diesen Fehler bereits vergangenen April der Betreibergesellschaft Facebook gemeldet. Bis heute hat sich diesbezüglich nichts getan, was ihn stutzig macht. Bis auf seinen Blogeintrag, sein Video (siehe unten) und seinen Vortrag auf dem 33C3 (die Folien sind hier einsehbar) kam bisher keine Bewegung in die Sache. Gestern allerdings berichtete das britische Magazin Guardian darüber. Der Guardian rät von einer Nutzung des Dienstes ab, sofern man darauf angewiesen ist, dass Geheimnisse auch wirklich geheim bleiben.
WhatsApp schrieb dem Guardian zurück, dies sei kein Bug sondern ein Feature. Da zahlreiche Nutzer in anderen Teilen der Welt oftmals ihre SIM-Karten austauschen und somit einen neuen Schlüssel nutzen, würden die Nachrichten ansonsten verloren gehen. Boelter schlug den Betreibern vor, auf das Vorgehen von Signal umzuschalten. Von WhatsApp selbst hat er keine Antwort erhalten. Auch Presseanfragen der ARD, warum sein Vorschlag nicht aufgegriffen wird, blieben unbeantwortet.
Video: WhatsApp Backdoor: Präsentation der Sicherheitslücke
Tarnkappe.info