News vom 12.01.2018

Studie: Gruppenchats von WhatsApp unsicher

Ein Artikel von , veröffentlicht am 12.01.2018

Wer Zugriff auf die Server von WhatsApp hat, kann heimlich bei Gruppenchats mithören, ohne dass die Mitglieder sofort informiert werden. Die Erkenntnisse Bochumer Sicherheitsforscher stellen die absolute Vertraulichkeit von Mehrpersonen-Chats auf WhatsApp infrage.

Wer an einem Gruppenchat bei WhatsApp teilnehmen will, muss eigentlich vom Administrator dieser Gruppe freigeschaltet werden. Danach erhalten alle bisherigen Mitglieder der Gruppe sofort eine Benachrichtigung darüber, dass es ein neues Mitglied gibt.

Dieser Sicherungsmechanismus lässt sich umgehen, wie Forscher der Ruhr-Universität Bochum entdeckt hatten. Die Ergebnisse ihrer Studie stellten sie am Mittwoch auf der Züricher Kryptographie-Konferenz "Real World Crypto" vor.

Heimlich Mitglieder eingeschleust

Wenn man Zugriff auf die Serversysteme von WhatsApp hat, ist es offenbar möglich, einen Teilnehmer in einem Gruppenchat anzumelden, ohne dass der Gruppen-Administrator zustimmen muss.

Die Teilnehmer der Gruppe werden zwar auch dann über neu hinzugekommene Mitglieder informiert. Das lässt sich nach Erkenntnis der Forscher jedoch mithilfe von Tricks verzögern. Deswegen sei es möglich, dass Unbefugte zumindest für einen gewissen Zeitraum die Kommunikation innerhalb der eigentlich geschlossenen Gruppe mitlesen können.

Die Hürde für diesen Angriff scheint zwar relativ hoch zu sein: Zugriff auf die Server von WhatsApp dürften nur Mitarbeiter, Behörden mit richterlicher Genehmigung oder Geheimdienste haben. Allerdings kam die Ende-zu-Ende-Verschlüsselung, die WhatsApp im April 2016 einführte, ja auch genau mit dem Versprechen, dass auch der Betreiber selbst diese Nachrichten nun nicht mehr entschlüsseln könne - und somit auch keine Behörde, die sich beim Unternehmen Zugriff verschafft.

WhatsApp räumt Sicherheitslücke ein

Bei der Ende-zu-Ende-Verschlüsselung werden Gesprächsinhalte auf den Geräten der jeweiligen Kommunikationspartner ver- und entschlüsselt. Somit landet nur unverständlicher Zeichensalat auf den Servern von WhatsApp.

Gegenüber dem IT-Magazin Wired räumte WhatsApp die Existenz der Sicherheitslücke ein, stellte jedoch deren tatsächliche Relevanz infrage.

Die Bochumer Forscher halten die Sicherheits von WhatsApp-Gruppenchats jedoch für ernsthaft kompromittiert. „Die Vertraulichkeit der Gruppe ist passé, sobald das uneingeladene Mitglied alle neue Nachrichten bekommen und lesen kann.“ sagte Paul Rösler, einer der Wissenchaftler im Gespräch mit Wired. Wenn es möglich sei, neue Mitglieder heimlich in eine Gruppe einzuschleusen, sei die Verschlüsselung kaum noch von Wert.

In ihrer Studie entdeckten die Wissenschaftler auch kleinere Lücken bei den Gruppenchats der WhatsApp-Alternativen Signal und Threema, stuften diese jedoch als harmloser und deutlich schwerer auszunutzen ein.

 

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Simple Search: Suchleiste für alle Suchmaschinen (Android)

Simple Search ist eine Suchleiste zum Anheften auf dem Startbildschirm des Smartphones. In der kleinen App lässt sich jede beliebige Suchmaschine hinterlegen. Damit können Sie auf die Apps anderer Suchdienste verzichten. So richten Sie Simple Search ein.

Ansehen
Ratgeber 

Navi-Apps im Check: Apples „Karten“

Die Navi-App für iOS heißt schlicht "Karten". Apple verwendet dafür Geodaten anderer Anbieter. Das hat Nachteile: zum Beispiel dauert es länger, Darstellungsfehler zu beheben. Apple plant daher ein großes Update mit eigenem Kartenmaterial ab Herbst 2018. Nutzerdaten bleiben laut Apple immer anonym.

Mehr
Ratgeber 

iPhone und iPad richtig löschen

Wenn Sie Ihr iPhone oder iPad weitergeben wollen – egal ob als Geschenk oder zum Verkauf –, sollten Sie es so zurücksetzen, dass niemand die Daten wiederherstellen kann. Das bedeutet: Daten löschen und von der iCloud abmelden.

Mehr
YouTube-Video 

3 Argumente für den Bezahldienst Apple Pay

Mit dem Handy an der Kasse bezahlen - das geht mit dem iPhone und der Apple Watch, wenn man eine Bankkarte in der App Wallet hinterlegt. Aus unserer Sicht können Sie den Bezahldienst Apple Pay bedenkenlos nutzen. Unsere drei Argumente erfahren Sie im Video.

Ansehen