Technik

Forscher warnen vor Schlüsseltausch: Hat Whatsapp eine Hintertür?

Sicherheitsforscher entdecken in Whatsapp eine Hintertür. Sie soll es Facebook oder Regierungen trotz Verschlüsselung ermöglichen, unbemerkt Nachrichten der Nutzer mitzulesen.

Eigentlich gilt die Ende-zu-Ende-Verschlüsselung von Whatsapp als sicher und weltweit vertrauen auch Nutzer in Ländern mit repressiven Regierungen darauf, dass ihre Konversationen nicht mitgelesen werden können. Doch wie "The Guardian" jetzt berichtet, ist das Vertrauen nicht unbedingt gerechtfertigt.

Kryptograph Tobias Boelter von der University of California ist der Entdecker der Lücke. Er hat herausgefunden, dass die von Open WhisperSystems entwickelte Open WhisperSystems eine entscheidende Schwachstelle hat. Eigentlich basiert die Verschlüsselung darauf, dass einmalige Schlüssel generiert werden, die es nur Absender und Empfänger erlauben, eine Nachricht zu lesen. Bei Whatsapp gäbe es aber die Möglichkeit, ein neues Schlüssel-Paar zu erzeugen, wenn ein Nutzer offline ist und eine Nachricht noch nicht als übermittelt markiert wurde, schreibt "The Guardian". Dabei werde der Inhalt vorübergehend entschlüsselt.

Eigentlich sollten Nutzer gewarnt werden, wenn dies geschieht. Doch der Empfänger werde in keinem Fall alarmiert und der Absender nur dann, wenn er dies in den Einstellungen aktiviert habe, so Boelter. Aber auch dann komme die Warnung erst, nachdem die Nachricht schon verschickt wurde. Tatsächlich hat kaum ein Whatsapp-Nutzer die Option aktiviert, die in den Einstellungen unter Account - Sicherheit - Sicherheits-Benachrichtigungen anzeigen zu finden ist. Dort steht, man werde benachrichtigt, wenn die Sicherheitsnummer geändert wurde. Whatsapp stellt Schlüssel über QR-Code oder als 60-stellige Nummern dar. Es handelt sich dabei nur um Stellvertreter, die tatsächlichen Schlüssel sind so nicht auslesbar.

Facebook sieht kein Problem

Boelter sagt, Whatsapp könne nicht nur einzelne Nachrichten, sondern komplette Konversationen auslesen. Denn die Server könnten Botschaften ohne Empfangsbestätigung weiterleiten. Bemerkt dies der Absender nicht, könne Whatsapp für die gesamte Unterhaltung den Offline-Trick anwenden.

Der Kryptograph hat Whatsapp-Eigentümer Facebook bereits im April 2016 über die Schwachstelle informiert. Ihm sei mitgeteilt worden, dass es sich um ein "erwartetes Verhalten" handle, über das man Bescheid wisse. Vielleicht ändere man dies in der Zukunft, momentan arbeite man nicht daran.

Ein Whatsapp-Sprecher antwortete "The Guardian" auf eine Anfrage, in vielen Gegenden der Welt wechselten Nutzer oft Smartphones und SIM-Karten. In solchen Situationen wolle man sicherstellen, dass Nachrichten übermittelt werden und nicht bei der Übertragung verloren gehen. Warum die Option für Warnungen bei Schlüsselwechseln nicht ab Installation aktiv sind, erklärte Whatsapp nicht.

Signal, der von Edward Snowden empfohlene Messenger von Open Whisper Systems, hat diese Schwäche nicht. Wird hier ein Schlüssel geändert, scheitert die Übertragung und der Absender wird informiert.

Quelle: n-tv.de