Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
News vom 17.01.2017

WhatsApp-Verschlüsselung im Kreuzfeuer

Ein Artikel von Uwe Sievers, veröffentlicht am 17.01.2017

WhatsApp steht erneut im Verdacht, für Geheimdienste Hintertüren zu öffnen. Allzu leichtfertig geht der Messenger mit Sicherheitseinstellungen um. Eine Neuinstallation oder ein Gerätewechsel führt zu einem neuen Krypto-Schlüssel. Das könnte zur Überwachung genutzt werden.

Eine seit knapp einem Jahr bekannte Sicherheitslücke im Instant Messenger WhatsApp sorgt für Verwirrung. Nachdem der britische Guardian jetzt darüber berichtete, entstand der Verdacht einer absichtlich eingebauten Hintertür, die zur Überwachung etwa durch Regierungsstellen dienen könnte, um verschlüsselte Nachrichten auszuspionieren.

Ursache des Problems ist ein Wechsel des Schlüssels, etwa weil Nutzer und Nutzerinnen die App neu installieren oder das Smartphone wechseln. Daraus kann ein Sicherheitsproblem entstehen, wenn eine Nachricht nicht zugestellt werden kann, etwa weil das Gerät offline war.

In dem Fall versendet WhatsApp eine Nachricht erneut. Wenn aber zwischen den beiden Sendeversuchen der Schlüssel gewechselt wurde, verschlüsselt der Messenger-Dienst die Nachricht stillschweigend mit dem neuen Schlüssel und verschickt sie noch mal. Dabei vertraut WhatsApp einfach ungeprüft dem neuen Schlüssel. Bei absichtlicher Unterbrechung wären ab jetzt alle Nachrichten in falschen Händen, ebenso der neue Schlüssel.

Diese Methode könnte für Lauschangriffe genutzt werden. Dazu wird ein Gerät gezielt blockiert, während ihm eine Nachricht geschickt wird. Nun wird unter der Nummer des Gerätes ein anderes Gerät registriert. Ganz trivial ist dieses Verfahren nicht, stellt jedoch nicht nur für staatliche Lauschangriffe keine große Hürde dar.

Erst nachdem die Nachricht zugestellt wurde, erhält der Absender eine Benachrichtigung, dass sich der Schlüssel des Gesprächspartners geändert hat, wenn überhaupt. Denn sollte ein WhatsApp-Teilnehmer die Benachrichtigungsoption nicht aktiviert haben, bekommt er von der Schlüsseländerung überhaupt nichts mit. Standardmäßig ist diese Option nicht aktiviert.

Der Messenger Signal setzt dasselbe Verschlüsselungsverfahren ein, teilt allerdings vor der Zustellung einer Nachricht mit, dass sich der Schlüssel geändert hat. Nutzer müssen über einen Dialog bestätigen, dass sie trotz des veränderten Empfängerschlüssels eine Nachricht an diesen senden wollen.

WhatsApp bleibt durch seine Vorgehensweise prinzipiell für Angriffe verwundbar. Hierfür muss ein Angreifer allerdings die Fähigkeit besitzen, einer Rufnummer einen neuen Schlüssel zu verpassen. Das wäre am leichtesten durch einen direkten Zugriff auf die WhatsApp-Server zu realisieren, was zu dem Verdacht führte, dass WhatsApp eine Hintertür für Geheimdienste eingebaut hat.

Der Entwickler der WhatsApp-Verschlüsselung, Moxie Marlinspike, der den Algorithmus für den Messenger Signal entwarf, dementierte, dass es sich um eine absichtlich eingerichtete Hintertür handelt. Dieser Meinung schloss sich auch der Sicherheitsforscher Tobias Boelter an, der das Problem entdeckt hatte. WhatsApp-Eigentümer Facebook sieht in dem Programmverhalten kein Problem, sondern ein Feature, das den Nutzern einen Gerätewechsel erleichtert.

 

Wenn Sie keine Lust mehr haben, sich bei WhatsApp Risiken auszusetzen, haben wir Alternativen für sie: Messenger: Verschlüsselt kommunizieren per App.

 

Artikel drucken:

Beitrag teilen:

Weitere Artikel

YouTube-Video 

Hohe Kosten für Reparatur

Sein Smartphone reparieren zu lassen, ist teuer. Eine Display-Reparatur kostet je nach Smartphone-Modell bis zu 70 % des Neupreises. Da ist es kein Wunder, dass sich jeder zweite in Deutschland gegen eine Reparatur entscheidet. Aber was treibt die Preise bei der Smartphone-Reparatur nach oben?

Ansehen Ratgeber 

Contact-Tracing in Österreich: „Stopp Corona“-App kurz vorgestellt

Die Corona-Tracing-App auf Bluetooth-Basis ist schon seit April in Österreich im Einsatz. Anbieter ist das Österreichische Rote Kreuz. Eine Untersuchung des Programmcodes brachte etliche Mängel beim Datenschutz ans Licht. Diese sollen spätestens mit einem Update Mitte Juni behoben werden.

Mehr Ratgeber 

Amazons Appstore kurz vorgestellt

Mit über 400.000 Apps bietet Amazon eine recht große App-Auswahl. Auf Amazons Kindle-Geräten ist der Store vorinstalliert. In Sachen Datenschutz bringt er keine Vorteile - wer ihn nutzt, muss ein Konto bei Amazon anlegen und stimmt Amazons Datenschutzerklärung zu. Daten aus der Nutzung anderer Amazon-Dienste werden verknüpft.

Mehr Ratgeber 

DuckDuckGo: Suchen ganz ohne Google

Die Suchmaschine DuckDuckGo finanziert sich durch Werbung, verzichtet dabei aber ganz auf Google-Dienste. Ihren Such-Index bildet sie aus vielen verschiedenen Quellen. In einigen Browsern können Sie DuckDuckGo mit nur einem Klick als Standard-Suche festlegen.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

info@ituj.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Träger

Impressum Datenschutz