Erhebliches Sicherheits-Leck in WhatsApp

WhatsApp kennt nun wirklich fast jeder: Der zum Facebook-Konzern gehörende Messaging-Dienst ist äußerst beliebt, gilt als Quasi-Standard. Immer wieder gerät der Messenger in der Kritik, unter anderem wegen Datenschutz-Problemen, wie zuletzt noch vor einigen Wochen, weil Facebook künftig Nutzer-Daten erheben will.

Doch jetzt wird ein ganz anderes Problem diskutiert: Offensichtlich hat WhatsApp ein Sicherheits-Leck, das Mithören von Nachrichten ermöglicht.

Seit April vergangenen Jahres bietet WhatsApp serienmäßig eine Ende-zu-Ende-Verschlüsselung aller Nachrichten. Das bedeutet: Zumindest was wir schreiben geht nicht in Klartext durchs Netz, sondern verschlüsselt – in den Geräten von Sender und Empfänger. Selbst WhatsApp selbst kann diese Verschlüsselung nicht knacken, die Nachrichten nicht mitlesen. In diesem Punkt sind sich Experten einig: Ein gutes Verfahren.

Allerdings hat der Sicherheits-Experte Tobias Boelter von der University of California ein Sicherheits-Leck in der Verschlüsselung entdeckt. Wer diese Lücke geschickt ausnutzt, kann nicht nur einzelne Nachrichten unverschlüsselt mitlesen, sondern im ungünstigsten Fall sogar komplette Chat-Protokolle abrufen und unverschlüsselt lesen. Eine dramatische Lücke, die unbedingt gestopft werden muss, berichtet nicht nur der Guardian.

Seit wann ist das Leck bekannt?

Der Sicherheits-Experte kennt das Leck bereits seit April 2016. Also bereits wenige Tage, nachdem WhatsApp die Ende-zu-Ende-Verschlüsselung aktiviert hat, hat Boelter auch schon das Leck entdeckt – und auch öffentlich gemacht. Er hat erklärt, unter welchen Umständen eine Sicherheits-Lücke auftaucht – und wie man sie ausnutzen kann.

WhatsApp kennt das Problem und hat im Mai 2016 gesagt: Das Problem beseitigen wird nicht. Kaum zu glauben, aber wahr. Auf der letzten Hacker-Konferenz 33C3 im Dezember 2016 in Hamburg hat Boelter erneut auf das Leck hingewiesen und mögliche Folgen deutlich gemacht – und jetzt kommt etwas in Bewegung.

Wer kann das Leck nutzen?

WhatsApp selbst könnte das Leck am einfachsten ausnutzen – sogar weitgehend unbemerkt. Das Leck erlaubt zwar nicht, massenweise Nachrichten zu entschlüsseln und mitzulesen, aber man könnte durchaus ganz konkret die Nachrichten von bestimmten Personen ergaunern.

Dazu müsste man dem Smartphone des Betreffenden einfach einen neuen Schlüssel anbieten – und das Smartphone schickt dann die betreffende Nachricht und auf Wunsch sogar den Verlauf des Chats. Ein folgenreiches Leck, deshalb wird auch von einer möglichen „Backdoor“ die Rede, eine absichtlich vorgesehene Hintertür.

Wie stopft WhatsApp das Leck nicht?

Genau das ist die Frage, die sich viele jetzt stellen. Man muss fast davon ausgehen, dass WhatsApp dieses Sicherheits-Leck äußerst recht ist. Manche gehen davon aus, WhatApp nutze das Leck bereits, um zum Beispiel im Auftrag von Behörden oder Geheim-Diensten gezielt Nachrichten auszuspionieren.

Eine nahe liegende Erklärung, denn eine andere plausible Erklärung gibt es nicht, wieso WhatsApp das bekannte Leck nicht schleunigst stopft. Auch andere Angreifer könnten das Leck ausnutzen, etwa indem gleichzeitig Sicherheits-Lücken im GSM-Netz genutzt werden – das wäre aber aufwändiger. Denkbar, aber weniger wahrscheinlich.

Signal nicht  betroffen

Der alternative Messenger Signal, der von Whistle-Blower Edward Snowden genutzt wird und prinzipiell auf derselben Verschlüsselungstechnologie beruht wie WhatsApp, hat das Problem laut Boelter nicht. Denn bei Signal werden Nachrichten nicht automatisch neu übermittelt, wenn sich der Schlüssel eines Kommunikations-Partners ändert.

Außerdem werden Signal-Benutzer deutlicher und auch früher (nicht erst nach der Übermittlung, wie bei WhatsApp) auf den Umstand hingewiesen, dass sich der Schlüssel des Kommunikations-Partners geändert hat. Wer auf Sicherheit wert legt, ist mit Signal also weiterhin besser bedient.

 

SCHIEB+ Immer bestens informiert

Schieb+ Tarife
Nach oben scrollen