Eine verschlüsselte „Lücke“ wurde im WhatsApp Messenger gefunden, welche genutzt werden kann, um Facebook und Behörden Zugriff auf Nachrichten zu geben. Dies berichtet aktuell The Guardian unter Berufung auf den Sicherheitsforscher Tobias Boetler von der Universiry of Berkeley in Kalifornien, der die Hintertür entdeckt haben will.
Er hatte die Lücke zuvor im April des vergangenen Jahres an den Konzern gemeldet und bekam die Antwort, dass man von der Sache wisse und es sich dabei um „erwartetes Verhalten“ handelt. Es werde nicht daran gearbeitet, diese zu schließen. Bis heute ist diese in WhatsApp vorhanden und aktiv, wie die britische Zeitung verifizieren konnte. Die Frage, die sich Medien und Nutzer nun stellen, ist jene, ob es sich hierbei wirklich um einen Backdoor handelt oder um eine Lücke.
Sicherheitslücke, Hintertür, …?
Um darüber urteilen zu können, ob es sich hierbei um einen Backdoor handelt oder nicht, muss man zuerst verstehen, worum es hierbei überhaupt geht. Der Fehler, der nun vom Forscher aufgezeigt wurde, ist ein Resultat von WhatsApps Implementierung der Verschlüsselungsprotokolle von Signal. Diese Implementierung erlaubt die Generierung neuer Verschlüsselungscodes für Nutzer, die momentan offline sind und benachrichtigt den Nutzer auch nicht darüber, dass ein neuer Schlüssel generiert wird. WhatsApp hat bereits erklärt, weshalb das so sein muss und zwar, um dafür sorgen zu können, dass eine Nachricht auch beim Nutzer ankommt, wenn dieser die App neu installiert oder das Smartphone neu startet. In diesen Fällen muss ein neuer Code generiert werden und damit eine vorher versandte Nachricht auch ankommt, muss das so sein. WhatsApp hat damit die Charakterisierung als „Sicherheitslücke“ bzw. „Backdoor“ dementiert, jedoch wird dieses Dementi von Fachmedien Großteils ignoriert, da man offenbar nichts von Verschlüsselung zu verstehen schient. Dieses Feature verhindert tatsächlich, dass Millionen von Nachrichten, die täglich verschickt werden, einfach verloren gehen, wenn der Empfänger gerade sein Smartphone neu gestartet hat. Das widerspricht dem modernen Prinzip eines Instant Messengers.
Nichts Neues
Tatsächlich ist diese „Entdeckung“ nichts Neues und bereits zuvor hatten Sicherheitsforscher WhatsApp dafür kritisiert. Das Problem besteht darin, dass WhatsApp die Verschlüsselungscodes nicht transparent mit dem Nutzer kommuniziert. Dieser könnte dann selbst prüfen, ob die Kommunikation durch irgendeinen Angreifer unterbrochen wurde.
Erst im Vorjahr hatte WhatsApp die Ende-zu-Ende-Verschlüsselung auf Basis von Open Whisper Systems implementiert, welche von Edward Snowden persönlich als sicher eingestuft worden war. WhatsApp bietet zwar keine Key Transparency, aber eine optionale Funktion, die darüber benachrichtigt, wenn der Sicherheitscode verändert wurde.
Wirklich viel sicherer geht es also nicht, wenn man als Nutzer erwartet, dass die versandten Nachrichten auch beim Empfänger ankommen sollen, wenn der Code aus irgendeinem Grund verändert werden muss. Dass WhatsApp allerdings behauptet hat, man könne selbst nicht auf die Nachrichten der Nutzer zugreifen, hat sich aber ans unwahr herausgestellt. Ob man mit Geheimdiensten zusammenarbeitet, kann jedoch nur das Unternehmen selbst beantworten. Die aktuellen Berichte rund um das WhatsApp-Thema sind allerdings außerordentlich reißerisch. Von einer Sicherheitslücke kann nicht gesprochen werden, da nur das Unternehmen selbst prinzipiell Zugriff darauf haben könnte, aber keine externen Angreifer. Eine absichtliche Hintertür ist es auch nicht, denn sie wurde nicht dafür erstellt, die Nachrichten der Nutzer lesen zu können, sondern, um dafür zu sorgen, dass Nachrichten nicht verloren gehen. Es ist ein schwieriges Thema, das zu viele Journalisten angeblicher Medien vom Fach nicht mit der Aufmerksamkeit und Genauigkeit angehen, das es erfordert.
Quelle: The Guardian / via TC
Pure Absicht!
Wenn es nur darum ginge zu vermeiden, dass Nachrichten nicht unbemerkt verschwinden, könnte man einfach dem Nutzer nochmal die Bedeutung der Häkchen näher bringen.
Die Lösung war schon lange da!!!
Bleibt es bei einem Haken wurde Ihre Nachricht nicht zugestellt und ist erneut zu versenden.
Ende!
Gruß
Ihr WhatsApp Team
Auf heise gibt es einen ausführlicheren Artikel zu dem Thema.
„… aber ans unwahr …“ <– da sollte wohl ein als hin.
@Topic
Wie so oft ist es eine Auslegungssache eines Sachverhaltes ausm Blickwinkel des eigenen Standpunkts. Die Erklärung der WA-Entwickler klingt soweit logisch. Da diese Verschlüsselungsmethode auch bei einem anderen Messenger zum Einsatz kommt, wäre es interessant zu erfahren, ob es auch da die gleiche Lücke gibt.
Dort eben nicht. Es liegt nämlich nicht am Protokoll.
Interessant. Dann wurde es ja absichtlich eingebaut. Ein Schelm wer Böses dabei denkt.
PS: Seit wann werden die Anführungszeichen nicht richtig dargestellt? (Kommentare mit App verfasst.)
Seit werden??
Seit wann werden
Wieso werden beim Neustarten des Handys neue Schlüssel generiert? Normalerweise behält doch ein Verschlüsselungspartner seinen privaten Key. Ich bin verwirrt.
Nicht beim Neustart des Handys, sondern bei Handywechsel und somit verbundenen WhatsApp-Neuinstallation.