Facebook-Tochter WhatsApp bestreitet Backdoor
Facebook-Tochter WhatsApp hat den Vorwurf eines Sicherheitsforschers zurückgewiesen, eine werksseitig eingebaute Hintertür erlaube es Dritten, verschlüsselte Nachrichten abzufangen und zu entschlüsseln, wie zdnet.de aktuell informierte. In diesem Zusammenhang hat auch Whisper Systems, das für die Entwicklung des von WhatsApp verwendeten Verschlüsselungsprotokolls Signal verantwortlich zeichnet, die Berichte des Guardian als falsch bezeichnet.
Wie bereits auf trojaner-info.de berichtet (siehe weiterführende Links) hatte der Kryptograph Tobias Boelter von der University of California in Berkeley diese Sicherheitslücke entdeckt. Er fand heraus, dass die von Open WhisperSystems entwickelte Verschlüsselung eine entscheidende Schwachstelle hat. Sie besteht einfach darin, dass das Prinzip, das immer nur einmalige Schlüssel generiert werden können, die es nur Absender und Empfänger erlauben, eine Nachricht zu lesen, nicht umfassend wirkt. Mittels eines neu erzeugten Schlüssel-Paars, wenn der Nutzer offline ist und eine Nachricht noch nicht als übermittelt markiert wurde, können Inhalte vorübergehend entschlüsselt werden.
WhatsApp dementiert Nachrichtenzugang für Behörden
Laut The Guardian äußerte Boelter:
„Falls WhatsApp von einer Regierungsbehörde aufgefordert wird, seine Messaging-Protokolle offenzulegen, kann es aufgrund der Änderungen des Schlüssels einen effektiven Zugang gewähren“
Demgegenüber verteidigte sich WhatsApp mit einer Erklärung auf silicon.co.uk.:
„Der Guardian hat einen Artikel veröffentlicht, in dem behauptet wird, eine absichtliche Design-Entscheidung, die verhindern soll, dass Nutzer Millionen von Nachrichten verlieren, sei eine Hintertür, die es Regierungen erlaubt, WhatsApp zur Entschlüsselung von Nachrichtenströmen zu zwingen“
„Diese Behauptung ist falsch.“
Des Weiteren wurde durch einen Sprecher von WhatsApp deutlich gemacht, dass man keinen verdeckten Zugang zu seinen Systemen gebe und wehre sich auch gegen jegliche Forderungen dieser Art. Die im Guardian-Artikel beschriebene Funktion für den Umgang mit Offline-Nachrichten verhindere, dass Nutzer beispielsweise beim Verlust ihres Geräts oder dem Wechsel zu einem anderen Gerät Nachrichten verlören. Zudem hätten Nutzer die Möglichkeit, in den Einstellungen der Messaging-App Benachrichtigungen zu möglichen Sicherheitsrisiken zu aktivieren. In dem Fall informiert WhatsApp den Nutzer, dass für eine nicht gesendete Nachricht ein neuer Schlüssel generiert wird.
Stellungnahme von Whisper Systems
In einer Stellungnahme zur Problematik kommentierte Whisper Systems zum Austausch von Schlüsseln, dass dies nicht ungewöhnlich sei:
„Das ist etwas, womit jedes auf öffentlichen Schlüsseln basierende Kryptografiesystem umgehen muss.“
„Die Tatsache, dass WhatsApp Schlüsseländerungen erlaubt, ist keine ‚Hintertür‘, Verschlüsselung funktioniert so“
„Jeder Versuch des Servers, Nachrichten des Absenders abzufangen, kann aufgedeckt werden, genau wie bei Signal, PGP oder jedem anderem Ende-zu-Ende verschlüsseltem Kommunikationssystem.“
