News WhatsApp: Verschlüsselung kann umgangen werden

[PsychoPC]

Laut einem Bericht der britischen Tageszeitung The Guardian weist der WhatsApp-Messenger eine strukturelle Schwachstelle auf, die das Mitlesen von Nachrichten ermöglicht und somit die beworbene Verschlüsselung wirkungslos machen kann.

dazu das ende

Die Existenz einer solchen Lücke würde nicht nur ein Einfallstor für Überwachungsmaßnahmen in der EU oder den USA bedeuten, sondern dürfte auch das weltweite Interesse von Sicherheitsapparaten wecken. Für diese wäre der Zugriff auf die Kommunikation der eigenen Bürger ein wertvoller Vorteil im Erkennen und präventiven Bekämpfen von illegalen oder nicht regierungskonformen Kräften.

aber man sollte Schreiben das diese Lücke ein muss ist zur Existenz grade für diese Überwachungsmaßnahmen

p.s will nicht wissen wie es bei den anderen Messenger apps aussieht Wette dort gibts auch ne versteckte Lücke?

 

[DekWizArt]

Benutzt Signal!
Benutzt Telegram!
Benutzt TextSecure!
Benutzt Line!
Benutzt Viber!
Benutzt Hike!
Benutzt Hoccer!
Benutzt ...

Ich glaube ein Smartphone schafft auch mehr als eine Messenging App.

 

[0xffffffff]

Telegramm benutzt nur die unsicher SHA-1 Verschlüsselung

Wenn man im Glauben ist, dass SHA-1 eine Verschlüsselung wäre, sollte man seinen Wissensstand zur Kryptografie nochmal ordentlich auffrischen... Und selbst MD5 ist in bestimmten Situationen noch "sicher genug" und nicht wirklich "gebrochen", denn es kommt auf den Kontext der Verwendung an.

Siehe auch: https://www.schneier.com/blog/archives/2005/02/sha1_broken.html

...It pretty much puts a bullet into SHA-1 as a hash function for digital signatures (although it doesn't affect applications such as HMAC where collisions aren't important)...

Und bei Telegram wird SHA1 meines Wissens nach nur als MAC genutzt. Problematischer ist in meinen Augen, dass Telegram wohl MAC-and-Encrypt nutzt, anstelle von Encrypt-then-MAC, und halt irgend ein schwurbeliges selbstgebautes Krypto-Verfahren, was von den allgemein bekannten Best-Practices abweicht und nicht so recht argumentiert wird, in meinen Augen. (https://core.telegram.org/techfaq)

 

[Gerii]

Das schreibt der Entwickler: https://news.ycombinator.com/item?id=12883410.

Der Quelltext ist öffentlich. Die App auditiert und für gut befunden. Wem das nicht reicht, der wird vermutlich überhaupt keine Google-Dienste installiert haben und sich vielleicht mit dem Fork (LibreSignal) anfreunden.

Leider passt der Fork dem Signal-Gründer gar nicht, weswegen dieser aufgegeben wurde: https://github.com/LibreSignal/LibreSignal/blob/master/README.md
Die Bemühungen Signal Google-frei zu bekommen scheinen derzeit auch stillzustehen: https://github.com/WhisperSystems/Signal-Android/pull/5962#issuecomment-270391338

 

[Turrican101]

Ich glaube ein Smartphone schafft auch mehr als eine Messenging App.

Stimmt. Blöd nur, dass ich exakt zwei Personen anschreiben könnte, wenn ich mir all diese genannten Messenger installiere. Und die hab ich auch alle in WA...

 

[Rossie]

Leider passt der Fork dem Signal-Gründer gar nicht, weswegen dieser aufgegeben wurde: https://github.com/LibreSignal/LibreSignal/blob/master/README.md
Die Bemühungen Signal Google-frei zu bekommen scheinen derzeit auch stillzustehen: https://github.com/WhisperSystems/Signal-Android/pull/5962#issuecomment-270391338

Hier ist das Ticket für den Websockets-Support: https://github.com/LibreSignal/LibreSignal/issues/43 Dafür gibt es eine Bounty (momentan etwas über $1000).

Der LibreSignal-Entwickler meint aber ohnehin:

To be clear, Signal relying on GCM is only an issue for people who use a custom Android ROM without Google Play Services. For the vast majority of people who do have Google Play on their phone, this issue is completely irrelevant. Signal is designed so that GCM is only used for a wakeup event and never sees any of the encrypted Signal messages.

 

[flappes]

Benutzt Threema!

Woher weiß ich denn, dass der nicht für die NSA arbeitet? ;-)

 

[MichiLH]

Benutzt Signal!
Benutzt Telegram!
Benutzt TextSecure!
Benutzt Line!
Benutzt Viber!
Benutzt Hike!
Benutzt Hoccer!
Benutzt ...

Signal und Textsecure sind das Selbe

 

[U-L-T-R-A]

Naja grundsätzlich wird sich keiner 15 Messenger installieren.
Jetzt also für 5 Freunde Messenger x draufzubügeln und mit den anderen über Whatsapp zu kommunizieren ändert da nu auch nix wirklich.

Da gehts auch nicht um 99 cent oder 2,99 Euroletten sondern um Bequemlichkeit bzw Praktikabilität.

Telegram gabs mal in der Vergangenheit mehrere Berichte wo das auch nicht so takko war.
Threema hat mein ich in nem Security Audit ganz gut abgeschnitten.
Das mit iMessage kann natürlich n geschickter PR Schachzug gewesen sein - aber im Ernst da hätten FBI/NSA doch einfach die Fresse gehalten und die Daten so abgezogen.

Aber klar irgendwo muß man halt (wenn man selber kein Krypto-Paule is) auf andere verlassen.
Und auch die sehen/finden vll nicht alles.
Und egal wie sicher der Messenger is - dann kann das OS ne backdoor haben...

 

[Marcus Err]

Komisch, auch hier werden jede Menge Messenger durchs Dorf gejagd, aber wire ist wieder nicht dabei. Warum ist das so unbekannt, obwohl es doch so verdammt gut ist?

 

[poichi]

Und wird sich was an dem Nutzungsverhalten der Masse der User ändern?
Nein. Warum auch, ihnen ist es egal so lange die Nachricht ankommt. - Sehr schade, dass die Meisten nicht verstehen was es für sie bedeuten kann abhört zu werden.

"bedeuten kann" ... ich glaube das hat alles schon Auswirkungen. Für Populisten wäre der Zugriff auf jeden Fall viel Wert (auf sämtliche für privat gehaltene Kommunikation meine ich). Aber natürlich für jede Art von Propaganda auch.

Oder eines Tages schon für viel schlimmere Dinge als nur die Meinung der Masse genau zu kennen.
Wenn man halt diverse Meinungen ausmerzen will.

 

[HyperSnap]

99% der User wirds eh egal sein weil diese einfach keine wichtigen Sachen da machen.
Soll doch irgendwer spionieren mehr als titten bilder und Dumme Sprüche finden die da eh nicht.

Solange man die wichtigen Dinge über andere wege regelt hat man auch keine Probleme.
Ich seh das sportlich die haben so mehr Müll zum durchforsten so das die andere Dinge vernachlässigen müssen.
Also wieder ein Pluspunkt wenn die im Datenmüll ersticken^^

 

[Trefoil80]

Für mich ist aktuell Threema die Nummer 1.

Ist zwar nicht open-source (ooooh, meiiiin, Gooootttt), aber es wurde schon zu sehr großen Teilen reverse-engineered und es wurden keine Schwächen oder "Auffälligkeiten" gefunden. Wurde so auf der 33C3 vorgestellt. Außerdem super-einfach im Handling. Schlüssel sichern muss man halt separat. Das ist nunmal so bei guter Verschlüsselung. Threema überlegt übrigens, den Firmensitz nach außerhalb der Schweiz zu verlegen.

XMPP/Jabber wäre noch besser, aber sorry, das ist für die Masse nicht alltagstauglich.

Telegram mit deren Stümper-Verschlüsselung? Nee danke...
Signal? Finde ich nicht gut, dass Handynummer = Benutzername ist (dann lieber so was Separates wie die Threema-ID).

@Topic
Ich habe mir auf die Meldung hin erstmal ein Pils aufgemacht!
WhatsApp hat etwa eine Hintertür? Das konnte ja nieeeeeeemand ahnen
Ach nee, keine Hintertür, sondern eine "Verbesserung der Usability" (also die Usability für die Geheimdienste oder für die Datenanal-ysten bei Facebook ).

 

[Bonanca]

@Bonanca

wow, mit 100mb kommt man ja wirklich weit ^^

Ich schaue weder Videos auf YouTube noch surfe ich unterwegs groß außer Computerbase^^
Und da reicht es sogar nach den 100MB vom Speed her (mir zumindest)

 

[AncientAlien]

Diese "ach sollen sie doch bei mir rein schauen" Einstellung, sollte man sich schnell abgewöhnen. Es ist UNSER RECHT auf Privatsphäre, welches respektiert werden muss! Ich verstehe diese Haltung nicht, ich mache mir da schon grundsätzlich Gedanken.

 

[PsychoPC]

Naja zu mindestens werden sie im KiK Messenger sowas hier nur finden siehe Bewertungen

https://play.google.com/store/apps/details?id=kik.android&hl=de

 

[cruse]

Hab jetzt WA, Wire, telegramm, threema und Signal - super - trotzdem muss ich weiter WA benutzen...

Ergänzung (13. Januar 2017)

Die Leute die mit mir schreiben wollen, sollen sich *XYZ* holen.

*FOREVER ALONE*

 

[AshS]

Es gibt genau zwei Messager die gänzlich ohne Kritik auskommen, die hat noch gar keiner genannt:

https://de.wikipedia.org/wiki/Conversations_(Instant_Messenger) und der
https://de.wikipedia.org/wiki/Kontalk

Hier was zum Thema:
https://www.kuketz-blog.de/let-signal-die-in-peace/

Snowden weiß offenbar auch nicht alles!

 

[DekWizArt]

Komisch, auch hier werden jede Menge Messenger durchs Dorf gejagd, aber wire ist wieder nicht dabei. Warum ist das so unbekannt, obwohl es doch so verdammt gut ist?

Gekoppelt an die Telefonnummer? Wenn ja, schon durch gefallen.

 

[EMkaEL]

Winfuture: Aufregung um angebliche WhatsApp-Backdoor ist albern

Der renommierte Sicherheitsforscher Alec Muffett bezeichnete die Aufregung um die Sache gegenüber Gizmodo gar als "hochgradiges Flachwichsertum".

nach dem lesen des artikels, bitte wieder runterkommen vom schnappatmen.