WhatsApp: Verschlüsselung kann umgangen werden
Laut einem Bericht der britischen Tageszeitung The Guardian weist der WhatsApp-Messenger eine strukturelle Schwachstelle auf, die das Mitlesen von Nachrichten ermöglicht und somit die beworbene Verschlüsselung wirkungslos machen kann.
Der Messengerdienst benutzt zwar das von Open Whisper Systems entwickelte und weithin gelobte Signal-Protokoll zur Verschlüsselung der gesendeten Nachrichten. Allerdings wurde das Protokoll so implementiert, dass in bestimmten Fällen für den Sender oder Empfänger unbemerkt durch WhatsApp die Generierung von neuen Schlüsseln für eine Unterhaltung vorgenommen werden kann. Dieser Umstand soll dem Unternehmen die Möglichkeit geben, die Nachrichten von Nutzern mitzulesen.
Die Schwachstelle wurde vom Kryptographie- und Sicherheitsforscher Tobias Boelter von der University of California, Berkeley, entdeckt. Seinen Angaben zufolge bedeutet diese Schwachstelle, dass WhatsApp Behörden Zugriff auf die jeweiligen Nachrichten geben kann. Er hatte Facebook bereits im April 2016 darüber informiert. Das Unternehmen, das WhatsApp bereits im Jahr 2014 übernommen hatte, meinte auf sein Nachfragen dazu, es handle sich um ein intendiertes Verhalten des Messengers, an dessen Behebung man nicht aktiv arbeite. Laut Recherchen des Guardian existiert die Schwachstelle noch immer.
Die Existenz einer solchen Lücke würde nicht nur ein Einfallstor für Überwachungsmaßnahmen in der EU oder den USA bedeuten, sondern dürfte auch das weltweite Interesse von Sicherheitsapparaten wecken. Für diese wäre der Zugriff auf die Kommunikation der eigenen Bürger ein wertvoller Vorteil im Erkennen und präventiven Bekämpfen von illegalen oder nicht regierungskonformen Kräften.
Der vollständige Artikel liefert weitere Details.
Mittlerweile existieren diverse Wortmeldungen zu der Thematik. Die wohl prominenteste Stellungnahme stammt von Moxie Marlinspike, der die von WhatsApp verwendete Verschlüsselungstechnik für den Signal-Messenger entwickelt hat.
In seinem Blogbeitrag bezeichnet er die Behauptung, die WhatsApp-Verschlüsselung weise eine Hintertüre auf, als falsch. Vielmehr sei es eine Designentscheidung, um eine reibungslose Nutzung durch die immens große Nutzerschaft zu gewährleisten. Die Gefahr eines Man-In-The-Middle-Angriffes (MITM) sei eine grundsätzlich immer vorhandene Gefahr in der Kryptographie. Bei einer WhatsApp-Konversation würde ein solcher derzeit den Nutzern sofort auffallen, wenn die Sicherheits-Benachrichtigungen aktiviert sind.
In der Praxis ändere sich der private Sicherheitsschlüssel mit jedem Tausch eines Smartphones oder gar der reinen Neuinstallation der Applikation. Die Entscheidung von WhatsApp, bei einem geänderten Schlüssel die Nachricht dennoch zu senden und dem Sender gleichzeitig eine Benachrichtigung über den Wechsel anzuzeigen, anstatt das Senden zu blockieren, sei sogar sicherer. Denn dadurch habe der Whatsapp-Server keine Chance festzustellen, wer sich die Notifikationen anzeigen lasse und wer nicht. Damit werde verhindert, dass man über Serverzugriff herausfinden kann, wo eine MITM-Attacke unentdeckt bleibt und wo sie auffallen würde. Man könne hier also beim besten Willen nicht von einer Hintertüre sprechen. Er kritisiert zudem die mangelnden medialen Anstrengungen, die Behauptung der Existenz einer solchen technisch adäquat zu verifizieren.
Der ursprüngliche Entdecker Tobias Boelter hält in einem Blogeintrag die Verwundbarkeit nicht für eine absichtlich eingebaute Hintertür. Er kritisiert allerdings vom Standpunkt des Datenschutzes heraus weiterhin Facebooks Weigerung, die Schwachstelle zu beheben.
Die Sicherheitstechnologie-Koryphäe Bruce Schneier hat in einem Eintrag ebenfalls zu dem Thema Stellung bezogen. Er sieht die Gefahr einer Verwundbarkeit einer Konversation als gegeben an, wenn auch mit den Einschränkungen, dass erst vom Angriffszeitpunkt weg mitgelesen werden kann und die Teilnehmer womöglich eine Sicherheits-Benachrichtigung erhalten. Bereits versendete Nachrichten seien weiterhin vor Zugriff geschützt. Von der praktischen Auswirkung her wäre so ein Angriff daher mit einem normalen Hacking-Angriff auf das Smartphone selbst vergleichbar.
Er bezeichnet die Verwundbarkeit als „klein“, sofern man sich Sorgen bezüglich einer Überwachung durch Regierungen mache, die Facebook unter Druck setzen können. In allen anderen Fällen müsse man sich keine Sorgen machen.
Besagte Sicherheits-Benachrichtigungen können WhatsApp-Nutzer unter Einstellungen -> Account -> Sicherheit aktivieren.