Sicherheitslücke von WhatsApp wird als Feature angepriesen

Tobias Boelter WhatsApp iPhone
Die Sicherheitslücke bei der Verschlüsselung von Nachrichten wird von WhatsApp als besonderes Merkmal und nicht als Lücke dargestellt. Tobias Boelter, der in Köln und Karlsruhe studiert hat, fand schon vor 9 Monaten einen Bug beim Messenger WhatsApp, der zum Belauschen der Kommunikation benutzt werden kann. WhatsApp ist informiert und hat seit April 2016 nichts unternommen.

Im Gegensatz zu anderen Messenger-Diensten wird bei WhatsApp automatisch ein neuer Schlüssel generiert, sofern der Empfänger nicht erreichbar war und nun einen neuen Schlüssel benutzt. Anderenfalls wären die Texte, Bilder, Videos für den Empfänger nicht lesbar.


Dieses Vorgehen sieht Boelter als problematisch an. Zwar könne man aufgrund dieser Sicherheitslücke nicht die bereits zugestellten Nachrichten einsehen. Wohl aber alle, die noch auf eine erfolgreiche Zustellung warten. In dem Fall müsste WhatsApp einfach ohne Grund einen neuen Schlüssel übermitteln, damit US-Behörden, Geheimdienste etc. die Kommunikation mitlesen können. Der Anwender würde davon nichts mitbekommen.

Es gebe laut Tobias Boelter keine Beweise dafür, dass die Lücke schon einmal vom Unternehmen ausgenutzt wurde, so zum Beispiel auf Anweisung einer Behörde oder eines Geheimdienstes. Die App Signal geht mit dieser Problematik anders um. Können Nachrichten wegen eines neuen Schlüssels des Empfängers nicht übermittelt werden, wird man informiert. Dann kann man manuell erneut versuchen, die Nachricht zuzustellen. In dem Fall tauschen die beiden Kommunikationspartner erneut ihren Schlüssel aus, um jedes Mitlesen Dritter unmöglich zu machen. Dies geschieht bei WhatsApp automatisch im Hintergrund.

Boelter hat diesen Fehler bereits vergangenen April der Betreibergesellschaft Facebook gemeldet. Bis heute hat sich diesbezüglich nichts getan, was ihn stutzig macht. Bis auf seinen Blogeintrag, sein Video (siehe unten) und seinen Vortrag auf dem 33C3 (die Folien sind hier einsehbar) kam bisher keine Bewegung in die Sache. Gestern allerdings berichtete das britische Magazin Guardian darüber. Der Guardian rät von einer Nutzung des Dienstes ab, sofern man darauf angewiesen ist, dass Geheimnisse auch wirklich geheim bleiben.

WhatsApp schrieb dem Guardian zurück, dies sei kein Bug sondern ein Feature. Da zahlreiche Nutzer in anderen Teilen der Welt oftmals ihre SIM-Karten austauschen und somit einen neuen Schlüssel nutzen, würden die Nachrichten ansonsten verloren gehen. Boelter schlug den Betreibern vor, auf das Vorgehen von Signal umzuschalten. Von WhatsApp selbst hat er keine Antwort erhalten. Auch Presseanfragen der ARD, warum sein Vorschlag nicht aufgegriffen wird, blieben unbeantwortet.

Bildquelle: Anton @ pexels, thx! (CC0 1.0)


Video: WhatsApp Backdoor: Präsentation der Sicherheitslücke

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.

Vielleicht gefällt dir auch

7 Kommentare

  1. Jad sagt:

    Ähm… Open Whisper Systems, die Signal entwickelt haben, bestätigen die Aussage von Whatsapp. Ich hätte erwartet, dass wenigstens ihr die Hysterie mit Fakten unterlegt, aber nein…

    https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/#

Schreibe einen Kommentar