News WhatsApp: Verschlüsselung kann umgangen werden

[Hypeo]

Am Ende hat jeder einen ausgearteten Wildwuchs an Messenger aufm Smartphone und auf keinem erreicht man alle Kontakte.

Vielleicht fördert es die Opposition gegen Geheimdienste, wenn die Menschen sich der Realität bewusst sind.

Zu Jolly91:
Deshalb versucht Whatsapp wohl, die Verschlüsselung möglichst unsichtbar zu halten. Der Nutzer soll nur einmal Bescheid bekommen, dass es sie gibt, danach hört er nie wieder etwas davon.

Für meinen Geschmack sollen sie dem interessierten Nutzer einfach die Wahl dazwischen geben, ob man die Warnmeldung vor oder nach dem Versenden an einen neuen, unbekannten Empfänger erhält. Meinetwegen in den "Expertenoptionen".

 

[Fetter Fettsack]

Artikel-Update: Mittlerweile existieren diverse Wortmeldungen zu der Thematik. Die wohl prominenteste Stellungnahme stammt von Moxie Marlinspike, der die von WhatsApp verwendete Verschlüsselungstechnik für den Signal-Messenger entwickelt hat.

In seinem Blogbeitrag bezeichnet er die Behauptung, die WhatsApp-Verschlüsselung weise eine Hintertüre auf, als falsch. Vielmehr sei es eine Designentscheidung, um eine reibungslose Nutzung durch die immens große Nutzerschaft zu gewährleisten. Die Gefahr eines Man-In-The-Middle-Angriffes (MITM) sei eine grundsätzlich immer vorhandene Gefahr in der Kryptographie. Bei einer WhatsApp-Konversation würde ein solcher derzeit den Nutzern sofort auffallen, wenn die Sicherheits-Benachrichtigungen aktiviert sind.

In der Praxis ändere sich der private Sicherheitsschlüssel mit jedem Tausch eines Smartphones oder gar der reinen Neuinstallation der Applikation. Die Entscheidung von WhatsApp, bei einem geänderten Schlüssel die Nachricht dennoch zu senden und dem Sender gleichzeitig eine Benachrichtigung über den Wechsel anzuzeigen, anstatt das Senden zu blockieren, sei sogar sicherer. Denn dadurch habe der Whatsapp-Server keine Chance festzustellen, wer sich die Notifikationen anzeigen lasse und wer nicht. Damit werde verhindert, dass man über Serverzugriff herausfinden kann, wo eine MITM-Attacke unentdeckt bleibt und wo sie auffallen würde. Man könne hier also beim besten Willen nicht von einer Hintertüre sprechen. Er kritisiert zudem die mangelnden medialen Anstrengungen, die Behauptung der Existenz einer solchen technisch adäquat zu verifizieren.

Der ursprüngliche Entdecker Tobias Boelter hält in einem Blogeintrag die Verwundbarkeit nicht für eine absichtlich eingebaute Hintertür. Er kritisiert allerdings vom Standpunkt des Datenschutzes heraus weiterhin Facebooks Weigerung, die Schwachstelle zu beheben.

Die Sicherheitstechnologie-Koryphäe Bruce Schneier hat in einem Eintrag ebenfalls zu dem Thema Stellung bezogen. Er sieht die Gefahr einer Verwundbarkeit einer Konversation als gegeben an, wenn auch mit den Einschränkungen, dass erst vom Angriffszeitpunkt weg mitgelesen werden kann und die Teilnehmer womöglich eine Sicherheits-Benachrichtigung erhalten. Bereits versendete Nachrichten seien weiterhin vor Zugriff geschützt. Von der praktischen Auswirkung her wäre so ein Angriff daher mit einem normalen Hacking-Angriff auf das Smartphone selbst vergleichbar.

Er bezeichnet die Verwundbarkeit als „klein“, sofern man sich Sorgen bezüglich einer Überwachung durch Regierungen mache, die Facebook unter Druck setzen können. In allen anderen Fällen müsse man sich keine Sorgen machen.

Besagte Sicherheits-Benachrichtigungen können WhatsApp-Nutzer unter Einstellungen -> Account -> Sicherheit aktivieren.

 

[Forum-Fraggle]

Besagte Sicherheits-Benachrichtigungen können WhatsApp-Nutzer unter Einstellungen -> Account -> Sicherheit aktivieren.

Bleibt nur die Frage, warum das nur als Opt-in angeboten wird und warum es nicht standardmäßig aktiviert wird.

 

[eRacoon]

Interessante Wendung, klang es am Anfang noch so als wäre es eine Bewusste Backdoor ist es jetzt wohl eher doch nur eine normale Technik die fast keine Unsicherheit mitbringt.
Das wird unsere Datenschutz Nazis jetzt aber enttäuschen...

 

[Klueze]

Vielen Dank für das Newsupdate, sehr informativ und gute Arbeit von CB. Auch an dieser Stelle sieht man mal wieder was die Medien an Falscheindrücken transportieren. Leider hat auch CB hier geschlafen, was wiederum nicht so gut ist. Ich selbst allerdings auch, da ich einfach nicht glauben möchte das Whatsapp sicher verschlüsselt ist, da es ja das große böse ist.

Die Anmerkung von Forum-Fraggle ist natürlich richtig, wieso ist so ein Feature Opt-In?

 

[hrafnagaldr]

Auch wenn ich kein Freund von WA und FB bin (nutze aber beides) hatte ich mir sowas schon von Beginn an gedacht. Die Sicherheitsbenachrichtigungen hatte ich ohnehin schon immer an. Ist für mich i.O. so. Die Leute auf einen anderen Messenger bringen ist nicht so leicht, ich hab zB Threema selber gekauft und es bleibt quasi ungenutzt.

Es sollten die Sicherheitsbenachrichtigungen lediglich standardmäßig aktiviert sein, das muss FB tatsächlich ändern. Sonst bleibt die Funktion sicher häufig ungenutzt.

 

[DunklerRabe]

Wenn man Produkte für die breite Masse bereitstellt, die nicht gerade sonderlich technisch versiert ist, muss man manchmal einfach Designentscheidungen treffen, die einem technisch versierten Nutzer nicht immer auf den ersten Blick einleuchtend sind. Ich hätte auch kein Problem damit, wenn die Meldungen per Default aktiv wären, allerdings kenne ich dutzende Leute, für die das ein Problem wäre. Solche Meldungen sorgen dann immer nur für Unsicherheit und triggern Nachfragen. Ich hätte es auch so gemacht.

 

[hrafnagaldr]

Wenn man Produkte für die breite Masse bereitstellt, die nicht gerade sonderlich technisch versiert ist, muss man manchmal einfach Designentscheidungen treffen, die einem technisch versierten Nutzer nicht immer auf den ersten Blick einleuchtend sind.

Das stimmt allerdings. Sowas wird in einem Forum für Computertechnik natürlich gerne mal ausgeblendet.

 

[Don Kamillentee]

Umsteigen auf iMessage?! xD alle nicht appleuser, pech xD. threema klingt interessant. Aber ich kauf doch keine app wenn keine sau dort ist. Watsapp ist industriestandard. pech gehabt. *Spaßmode*

Ich nutze Telegram und habe in Threema nur noch 2 Konversationen Telegram ist top. Allein die Webfunktionen haben mich überzeugt. Mit den "ich nutze alles was es gibt an Apps"-Leuten werden halt SMS ausgetauscht. Ich mache mich sicher nicht von irgendwelchen Apps abhängig.

Ah ja gut, Googles Casting Werkzeuge sind einfach unabdingbar wichtig

 

[Smulpa2k]

Ihr denkt doch nicht wirklich, dass ein Konzern uns eine BOMBENsichere Software für lau hinterherwirft mit der dann Kommunikation und Gedankengut fernab der Kontrollmöglichkeiten ermöglicht wird.

 

[w33werner]

Ihr denkt doch nicht wirklich, dass ein Konzern uns eine BOMBENsichere Software für lau hinterherwirft mit der dann Kommunikation und Gedankengut fernab der Kontrollmöglichkeiten ermöglicht wird.

Hast du dafür irgendeinen Beweis? Warum soll es bei den andern Messenger nicht so sein, etwa weil sie einmalig 99cent kosten?

Meiner Meinung nach haben es sicherlich tausende Hacker versucht in der Vergangenheit in WhatsApp eine Lücke zu finden, auch diesmal wurde es nicht geschafft, wenn es diese Lücke gäbe wäre sie schon gefunden worden

Viele im diesem Forum wollen einfach nicht einsehen das hier threema oder wie auch immer sich nicht lohnt
Ganz besonders nicht wenn man dann mit Dreivierteln der Freunde per SMS schreiben muss, aber das fällt vielen hier schwer einzugestehen
Da bleibt man lieber weiter verbissen

 

[itm]

Ich habe gestern einen 256 Bit NSA Zufallsgenerator geschrieben.

Ist das etwa störend das die mittleren 192 Bit des Ciphers Nullen sind? Ach ja und die ersten und letzten 8 Bit sind ausschließlich Einsen...

Wer möchte diesen PATRIOT-complaint cypher implementieren lassen?

Ähm die Mitarbeiter von GCHQ und NSA können ihre Hände runternehmen, in den USA wird dieser cypher bestimmt gerne eingesetzt werden...

 

[hrafnagaldr]

Wer möchte diesen PATRIOT-complaint cypher implementieren lassen?

What? Soll das eine Beschwerde über Luftabwehrraketen sein? Oder sollte das Patriot Act compliant heißen? Anyway, klingt nach ner Menge Bullshit...

 

[PsychoPC]

Er kritisiert allerdings vom Standpunkt des Datenschutzes heraus weiterhin Facebooks Weigerung, die Schwachstelle zu beheben.

Na wer sagt es denn? Kaum hat Facebook was übernommen was nun sein Eigentum ist zack wird erstmal Hintertürchen eingebaut und offen gelassen mehr gibts dazu nicht zu sagen.

 

[DunklerRabe]

Naja, man könnte dazu noch sagen, dass du das Problem vielleicht nicht verstanden hast! Oder kennst du eine Lösung? Erst wenn eine Lösung überhaupt existiert kann man von einer Weigerung sprechen.

 

[MaverickM]

Benutzt Telegram.

This!

 

[Mr.Smith]

…enutzt Threema!

um mir selber notizen zu schreiben kann ich auch notizzettel nehmen

 

[auna]

Hm, 100 Prozent Sicherheit gibt es also nicht, Whatsapp könnte mitgelesen werden...
Eigentlich nicht wirklich verwunderlich oder gar schockierend...
Ist das nicht inzwischen und auch schon vorher, Standard?
Lohnt die Aufregung?
Wenn ich an meine letzten 1000 Nachrichten per Whatsapp denke, eher nicht...
Wenn Behörden durch Überwachungsmassnahmen schwere Straftaten verhindern können, ist es mir mehr als recht...

 

[Hoikaiden]

..von einer Hintertüre sprechen..

Das Ding heißt TÜR und oder in der Mehrzahl TÜREN

Es gibt nur die Tore oder das Tor. Der Rest ist ein Misch aus beidem *klugscheiß´*

 

[TrevorPhillipps]

Meine WA Chats sind so belanglos und oberflächlich, da können die auslesen was sie wollen (...und damit rechne ich seit Anfang an).
Wirklich vertrauliche Dinge, schreibe ich nicht über WA. Da treffe ich mich persönlich mit den Leuten im Offline-Mode (falls das noch jemand kennt...).