WhatsApp zählt zu den beliebtesten Messenger-Diensten weltweit. Mit der Einführung der sogenannten Ende-zu-Ende-Verschlüsselung feierte sich das Unternehmen im Mai 2016 als „Marktführer im Schutz deiner privaten Kommunikation“. Jeder Anruf, jede Nachricht, Datei, Sprachnachricht, jedes Foto und Video werde dabei geschützt. Eine Nachricht sei ausschließlich lesbar von dem, der sie schreibt, und dem Empfänger. Niemand könne mitlesen: „Keine Hacker. Keine unterdrückenden Regimes. Nicht einmal wir“, hieß es in der Mitteilung des Unternehmens.

Doch das Unternehmen kann sein Versprechen nicht halten, wie nun die britische Zeitung „Guardian“ unter Berufung auf den Sicherheitsforscher Tobias Boelter von der Universität Kalifornien berichtet. Der WhatsApp-Messenger biete eine Hintertür, mit der sowohl das Unternehmen und in Konsequenz auch Regierungen mitlesen könnten, schreibt die Zeitung.

Um das Problem zu verstehen, braucht es zunächst Kenntnisse über die Verschlüsselungsart. WhatsApp erklärt den Standard des Signal-Protokolls so: Die Verschlüsselung „wird dadurch erreicht, dass deine Nachrichten mit einem Schloss gesichert werden und nur du und der Empfänger den Schlüssel haben, der notwendig ist, um sie zu entschlüsseln und zu lesen. Für zusätzliche Sicherheit hat jede Nachricht ihr eigenes einmaliges Schloss mit einem eigenen Schlüssel.“ Die Verschlüsselung und Entschlüsselung erfolgt also erst auf den Geräten des Absenders beziehungsweise Empfängers. So hätte auch der Mutterkonzern Facebook eigentlich keinen Zugriff auf die Nachrichten.

Automatische Neuzustellung ist das Problem

Unter IT-Experten gilt diese Ende-zu-Ende-Verschlüsselung als einzig wirklich sichere Methode. Sogar der US-Geheimdienst NSA soll Probleme damit haben, diese zu knacken. Bei WhatsApp gibt es dem Bericht nach jedoch eine Sicherheitslücke, die durch den Umgang der App mit nicht zugestellten Nachrichten entsteht. Diese sendet Nachrichten nämlich automatisch erneut, wenn dem Sender in der Zwischenzeit ein neuer öffentlicher Schlüssel des Adressaten mitgeteilt wird. Boelter zufolge ist dann in dem Fall nicht mehr sicher, ob es sich bei dem Adressaten auch um den Gewünschten handelt. WhatsApp könnte den Schlüssel auch selbst neu erstellt haben und so die neue Zusendung damit initiiert haben.

Der Sender bekommt davon normalerweise erst einmal nichts mit. Außer er hat in den Sicherheitshinweisen (unter Einstellungen >> Account >> Sicherheit) eingestellt, dass er eine Warnung erhält, sobald sich der Schlüssel des Empfängers ändert. Doch selbst dann erhält er die Meldung erst nach der Zustellung der Nachricht. Der eigentliche Empfänger bekommt von der ganzen Sache nichts mit. Eine Änderung des Schlüssels erfolgt im Normalfall, wenn ein Nutzer WhatsApp auf einem Telefon löscht und neu installiert oder wenn er seine SIM-Karte in einem anderen Telefon einsetzt.

Boelter informierte WhatsApp im April 2016

Boelter zufolge können durch die Sicherheitslücke nicht nur einzelne Nachrichten abgefangen werden, sondern nach einem derartigen Zwischenfall auch ganze Chatverläufe ausgespäht werden. Nämlich dann, wenn ein Angreifer die Lücke ausnutzt, um den Account zu übernehmen. So könnte entweder ein Angreifer oder auch WhatsApp - etwa auf Anweisung der Sicherheitsbehörden - vertrauliche Informationen abfangen.

Datenschützer schlagen Alarm. Die Angreifbarkeit des Messengers könnte eine Bedrohung für die Meinungsfreiheit sein und etwa von Regierungen ausgenutzt werden. Denn Regimekritiker, Diplomaten oder auch Privatpersonen wähnten sich bislang durch die Ende-zu-Ende-Verschlüsselung in falscher Sicherheit.

Dem Bericht zufolge machte Boelter WhatsApp bereits im April 2016 auf die Schwachstelle aufmerksam. Der Mutterkonzern Facebook habe ihm jedoch mitgeteilt, dass man den Sachverhalt kenne, derzeit aber nicht an einer Lösung arbeite. Es war genau einen Monat bevor WhatsApp auf seinem Blog für Deutschland bekannt gab, dass die Verschlüsselung nun verfügbar sei.

Quelle : welt.de

Tags: