Bericht: WhatsApp soll Hintertür haben

13. Januar 2017 Kategorie: Backup & Security, Social Network, geschrieben von: caschy

(Update: Unten haben wir ein Statement von WhatsApp angehangen) Einige werden nun überrascht schauen, anderen wird die Nachricht des Guardian sicher nur ein „Ach was?“ entlocken. WhatsApp soll eine Hintertür haben, die seit mindestens April 2016 im Messenger implementiert ist. Normalerweise verschlüsselt WhatsApp die Nachrichten zwischen den Teilnehmern Ende-zu-Ende, hierfür setzt man auf die als sicher geltende Protokoll-Lösung von Open Whisper Systems. Der „Fehler“ soll nicht in diesem Protokoll liegen, allerdings soll WhatsApp in der Lage sein, neue Schlüssel für Offline-Nutzer zu generieren und so theoretisch Nachrichten mitlesen zu können, ohne dass dies der Nutzer mitbekommt.

Sicherheitsexperte Tobias Boelter, der die Lücke gefunden hat, sagt gegenüber dem Guardian aus, dass WhatsApp theoretisch durch den Tausch von Schlüsseln auch Regierungen Zugang zu Inhalten gegeben werden kann.

The Guardian:

WhatsApp has the ability to force the generation of new encryption keys for offline users, unbeknown to the sender and recipient of the messages, and to make the sender re-encrypt messages with new keys and send them again for any messages that have not been marked as delivered.

Boelter meldete die Lücke im April 2016. Facebook soll ihm mitgeteilt haben, dass es sich um ein „erwartetes Verhalten“ handle und Facebook „das Problem“ kenne. Man arbeite nicht aktiv an der Behebung. Laut Guardian habe nachvollziehen können, das diese Hintertür noch existiert. Andere Sicherheitsforscher, die der Meinung seien, dass diese Möglichkeit nur den Angriff auf gezielt einzelne Nachrichten erlaube, sollen falsch liegen, so Boeder:

„This is not true if you consider that the WhatsApp server can just forward messages without sending the ‘message was received by recipient’ notification (or the double tick), which users might not notice. Using the retransmission vulnerability, the WhatsApp server can then later get a transcript of the whole conversation, not just a single message.“

Interessante Geschichte und ich bin schon gespannt, wie WhatsApp und Facebook sich dazu äußern, wenn überhaupt. Alternativen zu WhatsApp gibt es sicherlich, falls man trotz der Tatsache, dass man vielleicht viele Kontaktmöglichkeiten verliert, wechseln möchte. Threema beispielsweise – oder Signal direkt.

Update 13. Januar 16:30 Uhr, wir haben ein Statement von der Presseabteilung von WhatsApp bekommen: 

Info:

“The Guardian posted a story this morning claiming that an intentional design decision in WhatsApp that prevents people from losing millions of messages is a “backdoor” allowing governments to force WhatsApp to decrypt message streams.** This claim is false.
“WhatsApp does not give governments a “backdoor” into its systems and would fight any government request to create a backdoor. The design decision referenced in the Guardian story prevents millions of messages from being lost, and WhatsApp offers people security notifications to alert them to potential security risks. WhatsApp published a technical white paper on its encryption design, and has been transparent about the government requests it receives, publishing data about those requests in the Facebook Government Requests Report.)


 

Anzeige: Der neue Karriereservice von Caschys Blog in Kooperation mit Instaffo. Lass dich von Unternehmen finden. Jetzt kostenfrei anmelden!

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 23552 Artikel geschrieben.