Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
News vom 17.01.2017

WhatsApp-Verschlüsselung im Kreuzfeuer

Ein Artikel von , veröffentlicht am 17.01.2017

WhatsApp steht erneut im Verdacht, für Geheimdienste Hintertüren zu öffnen. Allzu leichtfertig geht der Messenger mit Sicherheitseinstellungen um. Eine Neuinstallation oder ein Gerätewechsel führt zu einem neuen Krypto-Schlüssel. Das könnte zur Überwachung genutzt werden.

Eine seit knapp einem Jahr bekannte Sicherheitslücke im Instant Messenger WhatsApp sorgt für Verwirrung. Nachdem der britische Guardian jetzt darüber berichtete, entstand der Verdacht einer absichtlich eingebauten Hintertür, die zur Überwachung etwa durch Regierungsstellen dienen könnte, um verschlüsselte Nachrichten auszuspionieren.

Ursache des Problems ist ein Wechsel des Schlüssels, etwa weil Nutzer und Nutzerinnen die App neu installieren oder das Smartphone wechseln. Daraus kann ein Sicherheitsproblem entstehen, wenn eine Nachricht nicht zugestellt werden kann, etwa weil das Gerät offline war.

In dem Fall versendet WhatsApp eine Nachricht erneut. Wenn aber zwischen den beiden Sendeversuchen der Schlüssel gewechselt wurde, verschlüsselt der Messenger-Dienst die Nachricht stillschweigend mit dem neuen Schlüssel und verschickt sie noch mal. Dabei vertraut WhatsApp einfach ungeprüft dem neuen Schlüssel. Bei absichtlicher Unterbrechung wären ab jetzt alle Nachrichten in falschen Händen, ebenso der neue Schlüssel.

Diese Methode könnte für Lauschangriffe genutzt werden. Dazu wird ein Gerät gezielt blockiert, während ihm eine Nachricht geschickt wird. Nun wird unter der Nummer des Gerätes ein anderes Gerät registriert. Ganz trivial ist dieses Verfahren nicht, stellt jedoch nicht nur für staatliche Lauschangriffe keine große Hürde dar.

Erst nachdem die Nachricht zugestellt wurde, erhält der Absender eine Benachrichtigung, dass sich der Schlüssel des Gesprächspartners geändert hat, wenn überhaupt. Denn sollte ein WhatsApp-Teilnehmer die Benachrichtigungsoption nicht aktiviert haben, bekommt er von der Schlüsseländerung überhaupt nichts mit. Standardmäßig ist diese Option nicht aktiviert.

Der Messenger Signal setzt dasselbe Verschlüsselungsverfahren ein, teilt allerdings vor der Zustellung einer Nachricht mit, dass sich der Schlüssel geändert hat. Nutzer müssen über einen Dialog bestätigen, dass sie trotz des veränderten Empfängerschlüssels eine Nachricht an diesen senden wollen.

WhatsApp bleibt durch seine Vorgehensweise prinzipiell für Angriffe verwundbar. Hierfür muss ein Angreifer allerdings die Fähigkeit besitzen, einer Rufnummer einen neuen Schlüssel zu verpassen. Das wäre am leichtesten durch einen direkten Zugriff auf die WhatsApp-Server zu realisieren, was zu dem Verdacht führte, dass WhatsApp eine Hintertür für Geheimdienste eingebaut hat.

Der Entwickler der WhatsApp-Verschlüsselung, Moxie Marlinspike, der den Algorithmus für den Messenger Signal entwarf, dementierte, dass es sich um eine absichtlich eingerichtete Hintertür handelt. Dieser Meinung schloss sich auch der Sicherheitsforscher Tobias Boelter an, der das Problem entdeckt hatte. WhatsApp-Eigentümer Facebook sieht in dem Programmverhalten kein Problem, sondern ein Feature, das den Nutzern einen Gerätewechsel erleichtert.

 

Wenn Sie keine Lust mehr haben, sich bei WhatsApp Risiken auszusetzen, haben wir Alternativen für sie: Messenger: Verschlüsselt kommunizieren per App.

 

Weitere Artikel

Ratgeber 

Quiz: Tracking mit dem Handy

Sind Sie in Sachen Privacy und Sicherheit ein richtiger Durchblicker, oder glauben das vielleicht nur? Sind Sie ein Angsthase, oder ein Träumer? In unserem Quiz zur dritten Woche des Cyber-Security-Monats dreht sich alles um die Analyse Ihrer Internet-Nutzung über Ihr Handy - das sogenannte Tracking.

Mehr
Ratgeber 

Simple Search: Suchleiste für alle Suchmaschinen (Android)

Sie haben sich von der Google-Suche verabschiedet, möchten aber auf die Suchleiste auf dem Startbildschirm Ihres Smartphones nicht verzichten? Kein Problem mit Simple Search! In dieses nützliche kleine Werkzeug lässt sich jede Suchmaschine einbauen.

Mehr
Ratgeber 

F-Droid: So installieren Sie den App-Store (Android)

Sie möchten F-Droid ausprobieren? Wir zeigen in einer Schritt-für-Schritt-Anleitung mit Screenshots, wie man den App-Store herunterlädt und auf dem Smartphone einrichtet.

Mehr
Ratgeber 

Kindersicherung bei Samsung: Kindermodus und Samsung Kids

Samsung hat in Sachen Kindersicherung ganz eigene Lösungen entwickelt. Auf älteren Geräten gibt es die App „Kindermodus“, ab Android 9 „Samsung Kids“. Die Apps sind durchaus gut durchdacht, gerade beim Kindermodus gibt es aber auch Kritikpunkte.

Mehr