Wer an einem Gruppenchat bei WhatsApp teilnehmen will, muss eigentlich vom Administrator dieser Gruppe freigeschaltet werden. Danach erhalten alle bisherigen Mitglieder der Gruppe sofort eine Benachrichtigung darüber, dass es ein neues Mitglied gibt.

Dieser Sicherungsmechanismus lässt sich umgehen, wie Forscher der Ruhr-Universität Bochum entdeckt hatten. Die Ergebnisse ihrer Studie stellten sie am Mittwoch auf der Züricher Kryptographie-Konferenz "Real World Crypto" vor.

Heimlich Mitglieder eingeschleust

Wenn man Zugriff auf die Serversysteme von WhatsApp hat, ist es offenbar möglich, einen Teilnehmer in einem Gruppenchat anzumelden, ohne dass der Gruppen-Administrator zustimmen muss.

Die Teilnehmer der Gruppe werden zwar auch dann über neu hinzugekommene Mitglieder informiert. Das lässt sich nach Erkenntnis der Forscher jedoch mithilfe von Tricks verzögern. Deswegen sei es möglich, dass Unbefugte zumindest für einen gewissen Zeitraum die Kommunikation innerhalb der eigentlich geschlossenen Gruppe mitlesen können.

Die Hürde für diesen Angriff scheint zwar relativ hoch zu sein: Zugriff auf die Server von WhatsApp dürften nur Mitarbeiter, Behörden mit richterlicher Genehmigung oder Geheimdienste haben. Allerdings kam die Ende-zu-Ende-Verschlüsselung, die WhatsApp im April 2016 einführte, ja auch genau mit dem Versprechen, dass auch der Betreiber selbst diese Nachrichten nun nicht mehr entschlüsseln könne - und somit auch keine Behörde, die sich beim Unternehmen Zugriff verschafft.

WhatsApp räumt Sicherheitslücke ein

Bei der Ende-zu-Ende-Verschlüsselung werden Gesprächsinhalte auf den Geräten der jeweiligen Kommunikationspartner ver- und entschlüsselt. Somit landet nur unverständlicher Zeichensalat auf den Servern von WhatsApp.

Gegenüber dem IT-Magazin Wired räumte WhatsApp die Existenz der Sicherheitslücke ein, stellte jedoch deren tatsächliche Relevanz infrage.

Die Bochumer Forscher halten die Sicherheits von WhatsApp-Gruppenchats jedoch für ernsthaft kompromittiert. „Die Vertraulichkeit der Gruppe ist passé, sobald das uneingeladene Mitglied alle neue Nachrichten bekommen und lesen kann.“ sagte Paul Rösler, einer der Wissenchaftler im Gespräch mit Wired. Wenn es möglich sei, neue Mitglieder heimlich in eine Gruppe einzuschleusen, sei die Verschlüsselung kaum noch von Wert.

In ihrer Studie entdeckten die Wissenschaftler auch kleinere Lücken bei den Gruppenchats der WhatsApp-Alternativen Signal und Threema, stuften diese jedoch als harmloser und deutlich schwerer auszunutzen ein.