News vom 12.01.2018

Studie: Gruppenchats von WhatsApp unsicher

Ein Artikel von , veröffentlicht am 12.01.2018

Wer Zugriff auf die Server von WhatsApp hat, kann heimlich bei Gruppenchats mithören, ohne dass die Mitglieder sofort informiert werden. Die Erkenntnisse Bochumer Sicherheitsforscher stellen die absolute Vertraulichkeit von Mehrpersonen-Chats auf WhatsApp infrage.

Wer an einem Gruppenchat bei WhatsApp teilnehmen will, muss eigentlich vom Administrator dieser Gruppe freigeschaltet werden. Danach erhalten alle bisherigen Mitglieder der Gruppe sofort eine Benachrichtigung darüber, dass es ein neues Mitglied gibt.

Dieser Sicherungsmechanismus lässt sich umgehen, wie Forscher der Ruhr-Universität Bochum entdeckt hatten. Die Ergebnisse ihrer Studie stellten sie am Mittwoch auf der Züricher Kryptographie-Konferenz "Real World Crypto" vor.

Heimlich Mitglieder eingeschleust

Wenn man Zugriff auf die Serversysteme von WhatsApp hat, ist es offenbar möglich, einen Teilnehmer in einem Gruppenchat anzumelden, ohne dass der Gruppen-Administrator zustimmen muss.

Die Teilnehmer der Gruppe werden zwar auch dann über neu hinzugekommene Mitglieder informiert. Das lässt sich nach Erkenntnis der Forscher jedoch mithilfe von Tricks verzögern. Deswegen sei es möglich, dass Unbefugte zumindest für einen gewissen Zeitraum die Kommunikation innerhalb der eigentlich geschlossenen Gruppe mitlesen können.

Die Hürde für diesen Angriff scheint zwar relativ hoch zu sein: Zugriff auf die Server von WhatsApp dürften nur Mitarbeiter, Behörden mit richterlicher Genehmigung oder Geheimdienste haben. Allerdings kam die Ende-zu-Ende-Verschlüsselung, die WhatsApp im April 2016 einführte, ja auch genau mit dem Versprechen, dass auch der Betreiber selbst diese Nachrichten nun nicht mehr entschlüsseln könne - und somit auch keine Behörde, die sich beim Unternehmen Zugriff verschafft.

WhatsApp räumt Sicherheitslücke ein

Bei der Ende-zu-Ende-Verschlüsselung werden Gesprächsinhalte auf den Geräten der jeweiligen Kommunikationspartner ver- und entschlüsselt. Somit landet nur unverständlicher Zeichensalat auf den Servern von WhatsApp.

Gegenüber dem IT-Magazin Wired räumte WhatsApp die Existenz der Sicherheitslücke ein, stellte jedoch deren tatsächliche Relevanz infrage.

Die Bochumer Forscher halten die Sicherheits von WhatsApp-Gruppenchats jedoch für ernsthaft kompromittiert. „Die Vertraulichkeit der Gruppe ist passé, sobald das uneingeladene Mitglied alle neue Nachrichten bekommen und lesen kann.“ sagte Paul Rösler, einer der Wissenchaftler im Gespräch mit Wired. Wenn es möglich sei, neue Mitglieder heimlich in eine Gruppe einzuschleusen, sei die Verschlüsselung kaum noch von Wert.

In ihrer Studie entdeckten die Wissenschaftler auch kleinere Lücken bei den Gruppenchats der WhatsApp-Alternativen Signal und Threema, stuften diese jedoch als harmloser und deutlich schwerer auszunutzen ein.

 

Geschrieben von

E-Mail

hinweis@mobilsicher.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Falsche Freunde und die SMS-TAN

Manche Dinge kann man im Internet per Mobilfunknummer bezahlen – sie werden dann mit der Telefonrechnung abgerechnet. Das machen sich Betrüger zunutze. Als falsche Freunde erschleichen sie die Telefonnummer und den Bestätigungscode und überweisen sich damit Geld.

Ansehen
Ratgeber 

Mit dem Smartphone sicher auf Reisen – 7 Tipps

Auch im Urlaub ist das Smartphone immer dabei. Doch einige Tricks und Maschen von Kriminellen zielen besonders auf ahnungslose Touristen. Wer sein Smartphone in der Ferne nutzen möchte, sollte daher ein paar Punkte beachten. Hier kommen unsere Tipps.

Mehr
Ratgeber 

Bildschirmsperre einrichten (iOS 8)

Wenn Sie keine Bildschirmsperre einrichten und Ihr Telefon oder Tablet abhanden kommt, kommen Diebe und Finder an nahezu alle persönlichen Daten auf Ihrem Gerät. Hier zeigen wir, wie Sie eine Bilschirmsperre für Ihr iPhone oder iPad einrichten können.

Mehr
Messenger 

Verschlüsselte Messenger: WhatsApp, Threema, Signal und Co.

Viele Messenger-Apps sind heute standardmäßig Ende-zu-Ende-verschlüsselt - Dritte können also unterwegs nicht mitlesen. Trotzdem gibt es bei einigen Messengern Sicherheitslücken. Wir geben einen Überblick über die beliebtesten Apps und listen ihre Vor- und Nachteile auf.

Mehr