Gestern wurde ein Artikel auf theguardian.com veröffentlicht, in dem basierend auf den Ergebnissen des Sicherheitsforschers Tobias Boelter von der University of California von einer Hintertür, einer "Backdoor", in WhatsApp berichtet wurde.

Dieser hatte im April 2016, also zeitnah zur Freischaltung der Ende-zu-Ende-Verschlüsselung für alle Nutzer, einen Mechanismus an Facebook gemeldet, durch den WhatsApp Einblick in Ende-zu-Ende verschlüsselte Nachrichten seiner Nutzer erhalten kann. Im Mai 2016 hatte Facebook bestätigt, dass man diesen kenne und nichts daran ändern werde.

Den Forschungsergebnissen zufolge verschickt WhatsApp nicht zugestellte Nachrichten automatisch noch einmal, wenn der Absender zwischenzeitlich einen neuen Schlüssel des Empfängers erhält, weil dieser z.B. die WhatsApp-App neu installiert oder sein Gerät gewechselt hat.

Das Problem: Hierbei sei nicht mehr sichergestellt, dass der Empfänger tatsächlich derselbe ist, schließlich könne auch WhatsApp den Schlüssel für einen Nutzer geändert und so Zugriff auf die erneut verschickte Nachricht erhalten haben.

Werbung

Werbeblocker aktiv?

Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂

Das Gute: Der Absender wird, sofern in den Einstellungen unter "Account" > "Sicherheit" > "Sicherheits-Benachrichtigungen anzeigen" aktiviert, darüber informiert, dass sich der Schlüssel des Empfängers geändert hat, und könnte somit ggf. erkennen, dass etwas passiert ist. Zudem sind nur solche Nachrichten betroffen, die noch nicht zugestellt wurden.

Die Ende-zu-Ende-Verschlüsselung wurde von WhatsApp in Kooperation mit "Open Whisper Systems", dem Unternehmen hinter der beliebten Messenger-App "Signal", entworfen, "Signal" jedoch ist nicht von der "Schwachstelle" betroffen. Hier werden nicht zugestellte Nachrichten nicht automatisch neu verschickt, und der Hinweis auf einen geänderten Schlüssel wird prominenter angezeigt.

Sowohl WhatsApp als auch Open Whisper Systems haben sich kurze Zeit später zur angeblichen "Backdoor" geäußert und übereinstimmend angegeben, dass der geschilderte Mechanismus zwar möglich sei - WhatsApp also theoretisch auf noch nicht zugestellte Nachrichten zugreifen könne - , es sich nicht um eine Hintertüre handle. Zum einen werde der Nutzer über den geänderten Schlüssel informiert, zum anderen würden andere Umsetzungen wie z.B. eine erforderliche Bestätigung des Absenders, dass er weiter mit dem Empfänger kommunizieren möchte, die Nutzererfahrung verschlechtern. Basis des Mechanismus sei also eine möglicherweise kritisierbare Design-Entscheidung und keine Hintertüre.

Die vollständige Stellungnahme von Open Whisper Systems findet man unter whispersystems.org. Zusätzliche Details vom Sicherheitsforscher Tobias Boelter gibt es unter tobi.rocks und tobi.rocks. Allgemeine Informationen zur Ende-zu-Ende-Verschlüsselung hat WhatsApp unter whatsapp.com zusammengestellt. 

via heise.de

Andere Beiträge, die auf diesen Beitrag verlinken

Deine Meinung zu diesem Artikel?