News vom 17.01.2017

WhatsApp-Verschlüsselung im Kreuzfeuer

Ein Artikel von , veröffentlicht am 17.01.2017

WhatsApp steht erneut im Verdacht, für Geheimdienste Hintertüren zu öffnen. Allzu leichtfertig geht der Messenger mit Sicherheitseinstellungen um. Eine Neuinstallation oder ein Gerätewechsel führt zu einem neuen Krypto-Schlüssel. Das könnte zur Überwachung genutzt werden.

Eine seit knapp einem Jahr bekannte Sicherheitslücke im Instant Messenger WhatsApp sorgt für Verwirrung. Nachdem der britische Guardian jetzt darüber berichtete, entstand der Verdacht einer absichtlich eingebauten Hintertür, die zur Überwachung etwa durch Regierungsstellen dienen könnte, um verschlüsselte Nachrichten auszuspionieren.

Ursache des Problems ist ein Wechsel des Schlüssels, etwa weil Nutzer und Nutzerinnen die App neu installieren oder das Smartphone wechseln. Daraus kann ein Sicherheitsproblem entstehen, wenn eine Nachricht nicht zugestellt werden kann, etwa weil das Gerät offline war.

In dem Fall versendet WhatsApp eine Nachricht erneut. Wenn aber zwischen den beiden Sendeversuchen der Schlüssel gewechselt wurde, verschlüsselt der Messenger-Dienst die Nachricht stillschweigend mit dem neuen Schlüssel und verschickt sie noch mal. Dabei vertraut WhatsApp einfach ungeprüft dem neuen Schlüssel. Bei absichtlicher Unterbrechung wären ab jetzt alle Nachrichten in falschen Händen, ebenso der neue Schlüssel.

Diese Methode könnte für Lauschangriffe genutzt werden. Dazu wird ein Gerät gezielt blockiert, während ihm eine Nachricht geschickt wird. Nun wird unter der Nummer des Gerätes ein anderes Gerät registriert. Ganz trivial ist dieses Verfahren nicht, stellt jedoch nicht nur für staatliche Lauschangriffe keine große Hürde dar.

Erst nachdem die Nachricht zugestellt wurde, erhält der Absender eine Benachrichtigung, dass sich der Schlüssel des Gesprächspartners geändert hat, wenn überhaupt. Denn sollte ein WhatsApp-Teilnehmer die Benachrichtigungsoption nicht aktiviert haben, bekommt er von der Schlüsseländerung überhaupt nichts mit. Standardmäßig ist diese Option nicht aktiviert.

Der Messenger Signal setzt dasselbe Verschlüsselungsverfahren ein, teilt allerdings vor der Zustellung einer Nachricht mit, dass sich der Schlüssel geändert hat. Nutzer müssen über einen Dialog bestätigen, dass sie trotz des veränderten Empfängerschlüssels eine Nachricht an diesen senden wollen.

WhatsApp bleibt durch seine Vorgehensweise prinzipiell für Angriffe verwundbar. Hierfür muss ein Angreifer allerdings die Fähigkeit besitzen, einer Rufnummer einen neuen Schlüssel zu verpassen. Das wäre am leichtesten durch einen direkten Zugriff auf die WhatsApp-Server zu realisieren, was zu dem Verdacht führte, dass WhatsApp eine Hintertür für Geheimdienste eingebaut hat.

Der Entwickler der WhatsApp-Verschlüsselung, Moxie Marlinspike, der den Algorithmus für den Messenger Signal entwarf, dementierte, dass es sich um eine absichtlich eingerichtete Hintertür handelt. Dieser Meinung schloss sich auch der Sicherheitsforscher Tobias Boelter an, der das Problem entdeckt hatte. WhatsApp-Eigentümer Facebook sieht in dem Programmverhalten kein Problem, sondern ein Feature, das den Nutzern einen Gerätewechsel erleichtert.

 

Wenn Sie keine Lust mehr haben, sich bei WhatsApp Risiken auszusetzen, haben wir Alternativen für sie: Messenger: Verschlüsselt kommunizieren per App.

 

Artikel drucken:

Beitrag teilen:

Weitere Artikel

Ratgeber 

Messenger-App Delta.Chat kurz vorgestellt

Anders als WhatsApp und Co. schickt der Messenger Delta.Chat Nachrichten nicht über eigene Server, sondern nutzt die Infrastruktur bestehender E-Mail-Adressen. Der Dienst ist damit dezentral - für Nutzer*innen hat das Vorteile.

Mehr Ratgeber 

Neodym, Gold, Indium: Die wundersame Welt des Handy-Metall-Recyclings

Es brodelt, raucht und blubbert, wenn man Gold oder Indium in Säure löst. Bastler*innen auf YouTube zeigen der Industrie, was möglich wäre.

Mehr YouTube-Video 

Bildschirmzeit als Kindersicherung: So geht’s (iPhone)

Mit der iOS-Version 12 hat Apple eine Funktion spendiert, mit der man die iPhone- oder iPad-Nutzung einschränken kann. Sie lässt sich auch als Kindersicherung einsetzen. Wie "Bildschirmzeit" funktioniert und welche Kritikpunkte es daran gibt, erklären wir im Video.

Ansehen Ratgeber 

Virenscanner für Android-Geräte

Sicherheits-Apps, die vor Schadprogrammen wie Trojanern oder Würmern schützen sollen, gibt es nicht nur für den PC, sondern auch für Smartphone und Tablet. Ihr Nutzen ist jedoch umstritten. Wir erklären, was diese Produkte leisten können und wo sie an ihre Grenzen stoßen.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz