Schwachstelle in der Verschlüsselung entdeckt
Wie n-tv.de unter Berufung auf Berichte des „The Guardian“ dazu informierte, hat der Kryptograph Tobias Boelter von der University of California eine Sicherheitslücke entdeckt. Er fand heraus, dass die von Open WhisperSystems entwickelte Verschlüsselung eine entscheidende Schwachstelle hat. Sie besteht einfach darin, dass das Prinzip, das immer nur einmalige Schlüssel generiert werden können, die es nur Absender und Empfänger erlauben, eine Nachricht zu lesen, nicht umfassend wirkt. Es gäbe laut „The Guardian“ eine weitere Möglichkeit ein neues Schlüssel-Paar zu erzeugen, wenn ein Nutzer offline ist und eine Nachricht noch nicht als übermittelt markiert wurde. In diesem Fall werden Inhalte vorübergehend entschlüsselt.
Wie Boelter feststellte, klappt auch die Nutzerwarnung nicht. Eine Alarmierung des Empfängers gibt es in keinem Fall und der Absender muss die Einstellungen vorher aktiviert haben. Das ist möglich unter „Account - Sicherheit - Sicherheits-Benachrichtigungen anzeigen“. Dort heißt es, man erhält eine Nachricht, wenn die Sicherheitsnummer tatsächlich geändert wurde.
Komplette Konversation lesbar
Davon, dass die komplette Konversation lesbar ist geht Boelter aus, da die Server Botschaften ohne Empfangsbestätigung weiterleiten könnten. Wenn der Absender das nicht bemerkt, könne Whatsapp für die gesamte Unterhaltung den Offline-Trick anwenden.
Bereits im April des vergangenen Jahres soll der Experte den WhatsApp-Eigentümer Facebook über diese Lücke informiert haben. Ihm sei mitgeteilt worden, dass es sich um ein "erwartetes Verhalten" handle, über das man Bescheid wisse. Vielleicht ändere man dies in der Zukunft, momentan arbeite man nicht daran.
WhatsApp Stellungnahmen
„The Guardian“ wurde seitens WhatsApp wie folgt unterrichtet:
„..,in vielen Gegenden der Welt wechselten Nutzer oft Smartphones und SIM-Karten. In solchen Situationen wolle man sicherstellen, dass Nachrichten übermittelt werden und nicht bei der Übertragung verloren gehen.“
Auch netzpolitik.org erhielt eine Stellungnahme zur Problematik, darin schriebt WhatsApp Folgendes:
"WhatsApp gibt Regierungen keine „Hintertür“ in seine Systeme und würde gegen jede Regierungsanfrage, eine Hintertür zu schaffen, vorgehen. Die Designentscheidung, auf die in der Guardian-Geschichte verwiesen wird, verhindert, dass Millionen von Nachrichten verloren gehen, und WhatsApp bietet Menschen Sicherheitsbenachrichtigungen an, um sie auf potenzielle Sicherheitsrisiken aufmerksam zu machen. WhatsApp veröffentlichte ein technisches White Paper über sein Verschlüsselungsdesign und ist transparent in Sachen Regierungsanforderungen, die es empfängt; und veröffentlicht Daten über diese Anfragen im Facebook Government Requests Report." [Übersetzung von netzpolitik.org]
Alternative Lösungen zu WhatsApp
Dazu informiert netzpolitik.org über zwei von vielen Alternativen zu WhatsApp:
- Der Messenger Threema
Mit ähnlichen Funktionen bietet der Dienst nicht Open Source, dafür muss man ihn nicht mit einer Telefonnummer verknüpfen.
- Der Messenger Signal
Dieser Messenger ist Open Source, wird von einem Team rund um den Erfinder der WhatsApp-Verschlüsselung entwickelt und nutzt das gleiche Verschlüsselungsverfahren wie WhatsApp. Mit dem kostenlosen Messenger Signal kann man auch verschlüsselt telefonieren. Nachteile: Signal muss mit der Telefonnummer verknüpft werden und benötigt bei Android die Google Play Services, um zu funktionieren, sowie den Play Store zur Installation.
Weiterführende Links:
theguardian.com: WhatsApp vulnerability allows snooping on encrypted messages
Tobias Boelter: What is Facebook going to do? A suggestion.
n-tv.de: Hat Whatsapp eine Hintertür?
netzpolitik.org: Facebook kann die verschlüsselten Inhalte auf WhatsApp mitlesen
