News vom 17.01.2017

WhatsApp-Verschlüsselung im Kreuzfeuer

Ein Artikel von , veröffentlicht am 17.01.2017

WhatsApp steht erneut im Verdacht, für Geheimdienste Hintertüren zu öffnen. Allzu leichtfertig geht der Messenger mit Sicherheitseinstellungen um. Eine Neuinstallation oder ein Gerätewechsel führt zu einem neuen Krypto-Schlüssel. Das könnte zur Überwachung genutzt werden.

Eine seit knapp einem Jahr bekannte Sicherheitslücke im Instant Messenger WhatsApp sorgt für Verwirrung. Nachdem der britische Guardian jetzt darüber berichtete, entstand der Verdacht einer absichtlich eingebauten Hintertür, die zur Überwachung etwa durch Regierungsstellen dienen könnte, um verschlüsselte Nachrichten auszuspionieren.

Ursache des Problems ist ein Wechsel des Schlüssels, etwa weil Nutzer und Nutzerinnen die App neu installieren oder das Smartphone wechseln. Daraus kann ein Sicherheitsproblem entstehen, wenn eine Nachricht nicht zugestellt werden kann, etwa weil das Gerät offline war.

In dem Fall versendet WhatsApp eine Nachricht erneut. Wenn aber zwischen den beiden Sendeversuchen der Schlüssel gewechselt wurde, verschlüsselt der Messenger-Dienst die Nachricht stillschweigend mit dem neuen Schlüssel und verschickt sie noch mal. Dabei vertraut WhatsApp einfach ungeprüft dem neuen Schlüssel. Bei absichtlicher Unterbrechung wären ab jetzt alle Nachrichten in falschen Händen, ebenso der neue Schlüssel.

Diese Methode könnte für Lauschangriffe genutzt werden. Dazu wird ein Gerät gezielt blockiert, während ihm eine Nachricht geschickt wird. Nun wird unter der Nummer des Gerätes ein anderes Gerät registriert. Ganz trivial ist dieses Verfahren nicht, stellt jedoch nicht nur für staatliche Lauschangriffe keine große Hürde dar.

Erst nachdem die Nachricht zugestellt wurde, erhält der Absender eine Benachrichtigung, dass sich der Schlüssel des Gesprächspartners geändert hat, wenn überhaupt. Denn sollte ein WhatsApp-Teilnehmer die Benachrichtigungsoption nicht aktiviert haben, bekommt er von der Schlüsseländerung überhaupt nichts mit. Standardmäßig ist diese Option nicht aktiviert.

Der Messenger Signal setzt dasselbe Verschlüsselungsverfahren ein, teilt allerdings vor der Zustellung einer Nachricht mit, dass sich der Schlüssel geändert hat. Nutzer müssen über einen Dialog bestätigen, dass sie trotz des veränderten Empfängerschlüssels eine Nachricht an diesen senden wollen.

WhatsApp bleibt durch seine Vorgehensweise prinzipiell für Angriffe verwundbar. Hierfür muss ein Angreifer allerdings die Fähigkeit besitzen, einer Rufnummer einen neuen Schlüssel zu verpassen. Das wäre am leichtesten durch einen direkten Zugriff auf die WhatsApp-Server zu realisieren, was zu dem Verdacht führte, dass WhatsApp eine Hintertür für Geheimdienste eingebaut hat.

Der Entwickler der WhatsApp-Verschlüsselung, Moxie Marlinspike, der den Algorithmus für den Messenger Signal entwarf, dementierte, dass es sich um eine absichtlich eingerichtete Hintertür handelt. Dieser Meinung schloss sich auch der Sicherheitsforscher Tobias Boelter an, der das Problem entdeckt hatte. WhatsApp-Eigentümer Facebook sieht in dem Programmverhalten kein Problem, sondern ein Feature, das den Nutzern einen Gerätewechsel erleichtert.

 

Wenn Sie keine Lust mehr haben, sich bei WhatsApp Risiken auszusetzen, haben wir Alternativen für sie: Messenger: Verschlüsselt kommunizieren per App.

 

Weitere Artikel

Ratgeber 

Quiz: Tracking mit dem Handy

Sind Sie in Sachen Privacy und Sicherheit ein richtiger Durchblicker, oder glauben das vielleicht nur? Sind Sie ein Angsthase, oder ein Träumer? In unserem Quiz zur dritten Woche des Cyber-Security-Monats dreht sich alles um die Analyse Ihrer Internet-Nutzung über Ihr Handy - das sogenannte Tracking.

Mehr
Schwerpunkt 

Alles rund um Messenger

Wie sicher ist es, Nachrichten übers Internet zu verschicken? Worauf sollten Sie bei der Auswahl eines Messengers achten? Und was ist eigentlich das Problem mit WhatsApp? Auf dieser Seite finden Sie unsere Beiträge und Tests zum Thema Messenger.

Mehr
Ratgeber 

Video-Chat Jami kurz vorgestellt

Der Video-Chat Jami ist kostenlos, die Software quelloffen. Gespräche zu zweit und in Gruppen sind standardmäßig Ende-zu-Ende-verschlüsselt. Anbieter ist eine kanadische Firma, die den Dienst gemeinsam mit Freiwilligen entwickelt.

Mehr
Browser und Suchmaschinen 

Ratgeber: So stellen Sie den Browser Safari richtig ein (iOS)

Viele Webseiten arbeiten mit Cookies und Tracking-Programmen, die das eigene Surfverhalten mitverfolgen und an Werbeunternehmen senden. Nicht alle unliebsamen Funktionen lassen sich in Apples Browser ausschalten. Ihre Privatsphäre schützen können Safari-Nutzer*innen aber trotzdem.

Mehr