Technik

Forscher warnen vor Schlüsseltausch Hat WhatsApp eine Hintertür?

WhatsApp

Die Verschlüsselung von WhatsApp kann offenbar umgangen werden.

(Foto: Martin Gerten/dpa)

Sicherheitsforscher entdecken in WhatsApp angeblich eine Hintertür. Sie soll es Facebook oder Regierungen trotz Verschlüsselung ermöglichen, unbemerkt Nachrichten der Nutzer mitzulesen. Der Anbieter der Verschlüsselung widerspricht.

Eigentlich gilt die Ende-zu-Ende-Verschlüsselung von WhatsApp als sicher und weltweit vertrauen auch Nutzer in Ländern mit repressiven Regierungen darauf, dass ihre Konversationen nicht mitgelesen werden können. Doch wie "The Guardian" jetzt berichtet, ist das Vertrauen nicht unbedingt gerechtfertigt.

Kryptograph Tobias Boelter von der University of California ist der Entdecker der angeblichen Lücke. Er hat herausgefunden, dass die von Open Whisper Systems entwickelte Verschlüsselung eine mögliche Schwachstelle hat. Eigentlich basiert die Verschlüsselung darauf, dass einmalige Schlüssel generiert werden, die es nur Absender und Empfänger erlauben, eine Nachricht zu lesen. Bei WhatsApp gäbe es aber die Möglichkeit, ein neues Schlüssel-Paar zu erzeugen, wenn ein Nutzer offline ist und eine Nachricht noch nicht als übermittelt markiert wurde, schreibt "The Guardian". Dabei werde der Inhalt vorübergehend entschlüsselt.

Whatsapp Hintertür Warnung Einstellungen.png

Die Sicherheitswarungen müssen Nutzer erst in den Einstellungen aktivieren.

(Foto: kwe)

Eigentlich sollten Nutzer gewarnt werden, wenn dies geschieht. Doch der Empfänger werde in keinem Fall alarmiert und der Absender nur dann, wenn er dies in den Einstellungen aktiviert habe, so Boelter. Aber auch dann komme die Warnung erst, nachdem die Nachricht schon verschickt wurde. Tatsächlich hat kaum ein WhatsApp-Nutzer die Option aktiviert, die in den Einstellungen unter Account - Sicherheit - Sicherheits-Benachrichtigungen anzeigen zu finden ist. Dort steht, man werde benachrichtigt, wenn die Sicherheitsnummer geändert wurde. WhatsApp stellt Schlüssel über QR-Code oder als 60-stellige Nummern dar. Es handelt sich dabei nur um Stellvertreter, die tatsächlichen Schlüssel sind so nicht auslesbar.

Facebook sieht kein Problem

Boelter sagt, WhatsApp könne nicht nur einzelne Nachrichten, sondern komplette Konversationen auslesen. Denn die Server könnten Botschaften ohne Empfangsbestätigung weiterleiten. Bemerkt dies der Absender nicht, könne WhatsApp für die gesamte Unterhaltung den Offline-Trick anwenden.

Der Kryptograph hat WhatsApp-Eigentümer Facebook bereits im April 2016 über die Schwachstelle informiert. Ihm sei mitgeteilt worden, dass es sich um ein "erwartetes Verhalten" handle, über das man Bescheid wisse. Vielleicht ändere man dies in der Zukunft, momentan arbeite man nicht daran.

Ein WhatsApp-Sprecher antwortete "The Guardian" auf eine Anfrage, in vielen Gegenden der Welt wechselten Nutzer oft Smartphones und SIM-Karten. In solchen Situationen wolle man sicherstellen, dass Nachrichten übermittelt werden und nicht bei der Übertragung verloren gehen. Warum die Option für Warnungen bei Schlüsselwechseln nicht ab Installation aktiv sind, erklärte WhatsApp nicht.

"Es gibt keine Hintertür in WhatsApp"

Signal, der von Edward Snowden empfohlene Messenger von Open Whisper Systems, hat diese "Schwäche" nicht. Wird hier ein Schlüssel geändert, scheitert die Übertragung und der Absender wird informiert. [Update] Im Unternehmensblog betont Open Whisper Systems, dass WhatsApp keinesfalls eine Hintertür habe. Der Schlüssel-Tausch bei geänderter Hardware oder SIM-Karte sei nicht außergewöhnlich, "so funktioniert Verschlüsselung eben". WhatsApp gehe lediglich beim Umgang mit Benachrichtigungen beziehungsweise dem automatischen Abbruch einer Übertragung einen eigenen Weg, so Open Whisper Systems. Darüber könne man diskutieren. Theoretisch könne der Messenger auf seinen Servern zwar versuchen, Nachrichten auf seinen Servern abzugreifen. WhatsApp funktioniere aber so, dass der Anbieter nicht wissen kann, ob ein Nutzer die Warnungen aktiviert hat oder nicht. WhatsApp riskiere also immer, erwischt zu werden.

Vom "Guardian" ist Open Whisper Systems enttäuscht. Als Anbieter der Verschlüsselung hätte man vor Veröffentlichung des Artikels gefragt werden müssen, man sei aber nicht kontaktiert worden. Diese Art der Berichterstattung könne Nutzer von einem sicheren Messenger zu einer unsicheren Alternative treiben.

Quelle: n-tv.de, kwe

Mehr zum Thema