News vom 17.01.2017

WhatsApp-Verschlüsselung im Kreuzfeuer

Ein Artikel von , veröffentlicht am 17.01.2017

WhatsApp steht erneut im Verdacht, für Geheimdienste Hintertüren zu öffnen. Allzu leichtfertig geht der Messenger mit Sicherheitseinstellungen um. Eine Neuinstallation oder ein Gerätewechsel führt zu einem neuen Krypto-Schlüssel. Das könnte zur Überwachung genutzt werden.

Eine seit knapp einem Jahr bekannte Sicherheitslücke im Instant Messenger WhatsApp sorgt für Verwirrung. Nachdem der britische Guardian jetzt darüber berichtete, entstand der Verdacht einer absichtlich eingebauten Hintertür, die zur Überwachung etwa durch Regierungsstellen dienen könnte, um verschlüsselte Nachrichten auszuspionieren.

Ursache des Problems ist ein Wechsel des Schlüssels, etwa weil Nutzer und Nutzerinnen die App neu installieren oder das Smartphone wechseln. Daraus kann ein Sicherheitsproblem entstehen, wenn eine Nachricht nicht zugestellt werden kann, etwa weil das Gerät offline war.

In dem Fall versendet WhatsApp eine Nachricht erneut. Wenn aber zwischen den beiden Sendeversuchen der Schlüssel gewechselt wurde, verschlüsselt der Messenger-Dienst die Nachricht stillschweigend mit dem neuen Schlüssel und verschickt sie noch mal. Dabei vertraut WhatsApp einfach ungeprüft dem neuen Schlüssel. Bei absichtlicher Unterbrechung wären ab jetzt alle Nachrichten in falschen Händen, ebenso der neue Schlüssel.

Diese Methode könnte für Lauschangriffe genutzt werden. Dazu wird ein Gerät gezielt blockiert, während ihm eine Nachricht geschickt wird. Nun wird unter der Nummer des Gerätes ein anderes Gerät registriert. Ganz trivial ist dieses Verfahren nicht, stellt jedoch nicht nur für staatliche Lauschangriffe keine große Hürde dar.

Erst nachdem die Nachricht zugestellt wurde, erhält der Absender eine Benachrichtigung, dass sich der Schlüssel des Gesprächspartners geändert hat, wenn überhaupt. Denn sollte ein WhatsApp-Teilnehmer die Benachrichtigungsoption nicht aktiviert haben, bekommt er von der Schlüsseländerung überhaupt nichts mit. Standardmäßig ist diese Option nicht aktiviert.

Der Messenger Signal setzt dasselbe Verschlüsselungsverfahren ein, teilt allerdings vor der Zustellung einer Nachricht mit, dass sich der Schlüssel geändert hat. Nutzer müssen über einen Dialog bestätigen, dass sie trotz des veränderten Empfängerschlüssels eine Nachricht an diesen senden wollen.

WhatsApp bleibt durch seine Vorgehensweise prinzipiell für Angriffe verwundbar. Hierfür muss ein Angreifer allerdings die Fähigkeit besitzen, einer Rufnummer einen neuen Schlüssel zu verpassen. Das wäre am leichtesten durch einen direkten Zugriff auf die WhatsApp-Server zu realisieren, was zu dem Verdacht führte, dass WhatsApp eine Hintertür für Geheimdienste eingebaut hat.

Der Entwickler der WhatsApp-Verschlüsselung, Moxie Marlinspike, der den Algorithmus für den Messenger Signal entwarf, dementierte, dass es sich um eine absichtlich eingerichtete Hintertür handelt. Dieser Meinung schloss sich auch der Sicherheitsforscher Tobias Boelter an, der das Problem entdeckt hatte. WhatsApp-Eigentümer Facebook sieht in dem Programmverhalten kein Problem, sondern ein Feature, das den Nutzern einen Gerätewechsel erleichtert.

 

Wenn Sie keine Lust mehr haben, sich bei WhatsApp Risiken auszusetzen, haben wir Alternativen für sie: Messenger: Verschlüsselt kommunizieren per App.

 

Weitere Artikel

Ratgeber 

Ratgeber: Handy geklaut oder verloren? So sorgen Sie vor

Jeden Tag werden unzählige Mobilgeräte gestohlen oder irgendwo verloren. Nehmen Sie sich einen Augenblick Zeit, um Ihr Gerät auf diesen Fall vorzubereiten. Im Verlustfall können diese Vorkehrungen den Schaden zumindest zu begrenzen.

Mehr
Ratgeber 

Das Datenschutz-Symbol bei iOS 11.3

Vielleicht ist es Ihnen schon aufgefallen: Seit iOS 11.3 taucht ein neues Symbol auf, wenn Sie bestimmte Apple-Apps das erste Mal starten. iOS signalisiert damit, dass die App persönliche Daten von Ihrem Gerät abfragt. Wir erklären, was hinter dem Symbol steckt und für welche Apps es gilt.

Mehr
Ratgeber 

Suchmaschine Startpage kurz vorgestellt

Die niederländische Suchmaschine nutzt die Trefferliste der Google-Suche und hält ihre Suchenden anonym. Finanziert wird das Angebot durch nicht personalisierte Werbung. Seit 2021 bietet Startpage auch eine Funktion für die Wettervorhersage und ein Übersetzungs-Tool.

Mehr
Ratgeber 

Zweite Auflage: Broschüre „Smartphones souverän nutzen“

Gibt es Handysucht? Wie schlimm ist Cyber-Mobbing? Welche Apps nutzen Jugendliche am liebsten und wo lauern Kostenfallen? Antworten und Tipps dazu in unserer Broschüre - jetzt auch als gedruckte Ausgabe bestellbar.

Mehr