Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
News vom 12.01.2018

Studie: Gruppenchats von WhatsApp unsicher

Ein Artikel von , veröffentlicht am 12.01.2018

Wer Zugriff auf die Server von WhatsApp hat, kann heimlich bei Gruppenchats mithören, ohne dass die Mitglieder sofort informiert werden. Die Erkenntnisse Bochumer Sicherheitsforscher stellen die absolute Vertraulichkeit von Mehrpersonen-Chats auf WhatsApp infrage.

Wer an einem Gruppenchat bei WhatsApp teilnehmen will, muss eigentlich vom Administrator dieser Gruppe freigeschaltet werden. Danach erhalten alle bisherigen Mitglieder der Gruppe sofort eine Benachrichtigung darüber, dass es ein neues Mitglied gibt.

Dieser Sicherungsmechanismus lässt sich umgehen, wie Forscher der Ruhr-Universität Bochum entdeckt hatten. Die Ergebnisse ihrer Studie stellten sie am Mittwoch auf der Züricher Kryptographie-Konferenz "Real World Crypto" vor.

Heimlich Mitglieder eingeschleust

Wenn man Zugriff auf die Serversysteme von WhatsApp hat, ist es offenbar möglich, einen Teilnehmer in einem Gruppenchat anzumelden, ohne dass der Gruppen-Administrator zustimmen muss.

Die Teilnehmer der Gruppe werden zwar auch dann über neu hinzugekommene Mitglieder informiert. Das lässt sich nach Erkenntnis der Forscher jedoch mithilfe von Tricks verzögern. Deswegen sei es möglich, dass Unbefugte zumindest für einen gewissen Zeitraum die Kommunikation innerhalb der eigentlich geschlossenen Gruppe mitlesen können.

Die Hürde für diesen Angriff scheint zwar relativ hoch zu sein: Zugriff auf die Server von WhatsApp dürften nur Mitarbeiter, Behörden mit richterlicher Genehmigung oder Geheimdienste haben. Allerdings kam die Ende-zu-Ende-Verschlüsselung, die WhatsApp im April 2016 einführte, ja auch genau mit dem Versprechen, dass auch der Betreiber selbst diese Nachrichten nun nicht mehr entschlüsseln könne - und somit auch keine Behörde, die sich beim Unternehmen Zugriff verschafft.

WhatsApp räumt Sicherheitslücke ein

Bei der Ende-zu-Ende-Verschlüsselung werden Gesprächsinhalte auf den Geräten der jeweiligen Kommunikationspartner ver- und entschlüsselt. Somit landet nur unverständlicher Zeichensalat auf den Servern von WhatsApp.

Gegenüber dem IT-Magazin Wired räumte WhatsApp die Existenz der Sicherheitslücke ein, stellte jedoch deren tatsächliche Relevanz infrage.

Die Bochumer Forscher halten die Sicherheits von WhatsApp-Gruppenchats jedoch für ernsthaft kompromittiert. „Die Vertraulichkeit der Gruppe ist passé, sobald das uneingeladene Mitglied alle neue Nachrichten bekommen und lesen kann.“ sagte Paul Rösler, einer der Wissenchaftler im Gespräch mit Wired. Wenn es möglich sei, neue Mitglieder heimlich in eine Gruppe einzuschleusen, sei die Verschlüsselung kaum noch von Wert.

In ihrer Studie entdeckten die Wissenschaftler auch kleinere Lücken bei den Gruppenchats der WhatsApp-Alternativen Signal und Threema, stuften diese jedoch als harmloser und deutlich schwerer auszunutzen ein.

 

Weitere Artikel

YouTube-Video 

Was können Passwortmanager? – mit Alex von Privacy Tutor

Passwortmanager helfen, die Masse von Zugangsdaten unseres digitalen Alltags zu verwalten. Aber sind sie wirklich sicher? Und wie nutzt man einen Passwortmanager richtig? Wir fragen, Wirtschaftsinformatiker und Blogger Alex gibt die Antworten.

Ansehen
YouTube-Video 

Note für Reparierbarkeit

Leicht zu reparieren? In Frankreich kriegt jedes Handy dafür eine Note. Wie funktioniert das? Und haben auch wir in Deutschland was davon?

Ansehen
Ratgeber 

Apps gecheckt: Diese Selfie-Apps sammeln deine Gesichtsdaten (Android)

Bild hochladen, Katzenohren dran, fertig: Fotofilter für Selfies gibt es schon lange. Doch was passiert, wenn Software-Firmen ihr Geschäftsmodell ganz auf die Gesichter von Nutzer*innen ausrichten? Sechs beliebte Apps im Test.

Mehr
Ratgeber 

Tracking in Apps: Das können Sie tun (Android)

Viele Apps enthalten Software-Bausteine von Drittanbietern, zum Beispiel von Tracking- oder Werbefirmen. Von außen sieht man das allerdings nicht. Wir geben Tipps, wie Sie Apps mit unliebsamen Modulen vermeiden können.

Mehr