Sicherheitslücke in WhatsApp untergräbt Ende-zu-Ende-Verschlüsselung [Update]

Jonny Random, den 13. Januar 2017
WhatsApp
WhatsApp

Eine Sicherheitslücke in WhatsApp könnte die Ende-zu-Ende-Verschlüsselung weitestgehend unwirksam gemacht haben. Das Problem besteht anscheinend schon seit April letzten Jahres.

Eine Sicherheitslücke erlaubt es Facebook Unterhaltungen von WhatsApp-Nutzern mitzulesen. Wie der britische Guardian nun berichtete, wird dabei das Erzeugen neuer Schlüssel erzwungen, während ein Nutzer offline ist. Anschließend werden als nicht zugestellt markierte Nachrichten mit diesem neuen Schlüssel verschlüsselt und ausgeliefert.

WhatsApp kann nun die weitere Unterhaltung mitlesen. Der Nutzer bemerkt dabei allenfalls, dass die Sicherheitsnummer eines Kontakts sich geändert hat, sofern diese Einstellung unter Einstellungen > Account > Sicherheit aktiviert ist. Das kann allerdings verschiedene Ursachen haben und dürfte nur die wenigsten Nutzer alarmieren. Der Zeitung zur Folge haben die Sicherheitsforscher, die die Lücke entdeckten, WhatsApp schon im April vergangenen Jahres über ihre Entdeckung informiert. Die Facebook-Tochter hatte indes nur angemerkt, dass es sich um ein erwartetes Verhalten handelt.

Ein Sprecher kommentierte den Zeitungsbericht und verteidigte das Vorgehen des Messengers: Die Änderung der Sicherheitsnummer sollte nicht zum Scheitern der Zustellung führen, diese sei oft die Folge häufiger Geräte- oder SIM-Kartenwechsel. In vielen Regionen nutzten Menschen billige Smartphones, die sie oft wechselten, so führte er aus. In diesem Fall sollen Nachrichten nicht verloren gehen. Privatsphäre-Aktivisten sprachen indes schon von einer Goldmine für Sicherheitsbehörden.

Verschlüsselung in Frage gestellt

Die von WhatsApp eingesetzte Ende-zu-Ende-Verschlüsselung stammt von Open Whisper Systems und gilt als sicher. Sie wird auch im Kryptomessenger Signal eingesetzt. Dieser ist unter anderem bei Menschenrechtsaktivisten beliebt. Unlängst unternahm die ägyptische Regierung erste Schritte zu dessen Sperrung. Das Signal-Kryptoverfahren enthält die bei WhatsApp entdeckte Schwachstelle nicht. Wird dort etwas ähnliches versucht, scheitert die Nachrichtenzustellung und es gibt keinen  automatischen weiteren Zustellversuch. Laut Tobias Boelter, Entdecker der Schwachstelle, der als Sicherheitsforscher an der University of California arbeitet, könnte WhatsApp so Regierungen Zugang zu Unterhaltungen möglicher Regierungsgegner gewähren.


Ähnliche Nachrichten