Bericht: WhatsApp soll Hintertür haben

(Update: Unten haben wir ein Statement von WhatsApp angehangen) Einige werden nun überrascht schauen, anderen wird die Nachricht des Guardian sicher nur ein „Ach was?“ entlocken. WhatsApp soll eine Hintertür haben, die seit mindestens April 2016 im Messenger implementiert ist. Normalerweise verschlüsselt WhatsApp die Nachrichten zwischen den Teilnehmern Ende-zu-Ende, hierfür setzt man auf die als sicher geltende Protokoll-Lösung von Open Whisper Systems. Der „Fehler“ soll nicht in diesem Protokoll liegen, allerdings soll WhatsApp in der Lage sein, neue Schlüssel für Offline-Nutzer zu generieren und so theoretisch Nachrichten mitlesen zu können, ohne dass dies der Nutzer mitbekommt.

Sicherheitsexperte Tobias Boelter, der die Lücke gefunden hat, sagt gegenüber dem Guardian aus, dass WhatsApp theoretisch durch den Tausch von Schlüsseln auch Regierungen Zugang zu Inhalten gegeben werden kann.

The Guardian:

WhatsApp has the ability to force the generation of new encryption keys for offline users, unbeknown to the sender and recipient of the messages, and to make the sender re-encrypt messages with new keys and send them again for any messages that have not been marked as delivered.

Boelter meldete die Lücke im April 2016. Facebook soll ihm mitgeteilt haben, dass es sich um ein „erwartetes Verhalten“ handle und Facebook „das Problem“ kenne. Man arbeite nicht aktiv an der Behebung. Laut Guardian habe nachvollziehen können, das diese Hintertür noch existiert. Andere Sicherheitsforscher, die der Meinung seien, dass diese Möglichkeit nur den Angriff auf gezielt einzelne Nachrichten erlaube, sollen falsch liegen, so Boeder:

„This is not true if you consider that the WhatsApp server can just forward messages without sending the ‘message was received by recipient’ notification (or the double tick), which users might not notice. Using the retransmission vulnerability, the WhatsApp server can then later get a transcript of the whole conversation, not just a single message.“

Interessante Geschichte und ich bin schon gespannt, wie WhatsApp und Facebook sich dazu äußern, wenn überhaupt. Alternativen zu WhatsApp gibt es sicherlich, falls man trotz der Tatsache, dass man vielleicht viele Kontaktmöglichkeiten verliert, wechseln möchte. Threema beispielsweise – oder Signal direkt.

Update 13. Januar 16:30 Uhr, wir haben ein Statement von der Presseabteilung von WhatsApp bekommen: 

Info:

“The Guardian posted a story this morning claiming that an intentional design decision in WhatsApp that prevents people from losing millions of messages is a “backdoor” allowing governments to force WhatsApp to decrypt message streams.** This claim is false.
“WhatsApp does not give governments a “backdoor” into its systems and would fight any government request to create a backdoor. The design decision referenced in the Guardian story prevents millions of messages from being lost, and WhatsApp offers people security notifications to alert them to potential security risks. WhatsApp published a technical white paper on its encryption design, and has been transparent about the government requests it receives, publishing data about those requests in the Facebook Government Requests Report.)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

38 Kommentare

  1. Nicht neues und alles aufgebauscht. Man sollte mal überlegen warum das gemacht wird. Wer mehr Hintergrundwissen will und warum das gemacht wird sollte mal den Twitter Account von Signal iOS Entwickler Frederic Jacobs lesen: https://twitter.com/FredericJacobs Viel kritischer sind Onlinebackups von WhatsApp <- und da ist die wahre Sicherheitslücke wenn man Angst vor der NSA hat 😉

  2. Wenn man unter „Einstellungen“ – „Account“ – „Sicherheit“ schaut, kann man einstellen, ob man informiert werden möchte, wenn sich die Sicherheitsnummer eines Kontaktes ändert.
    Ist das auch die Nummer die in der News erwähnt wird?

  3. wie bei win10 gibt es auch dort einstellungen zur überwachungseinstellung, aber wer glaubt ernsthaft dass diese auch tatsächlich greifen wenn der anbieter es nicht möchte. wa facebook w10, das sind alles kandidaten bei dennen man sicher sein kann dass es nicht seriös zugeht. wer das nutzt sollte das nur wissen und selbst entscheiden aber nicht hinterher klagen

  4. Glaubt doch nicht wirklich jemand, dass noch irgendetwas „sicher“ ist oder?

  5. Wenn ich mich recht entsinne, konnte man früher noch seine eigene Sicherheitsnummer sehen. Entweder es wurde entfernt, oder ich finde sie gerade einfach nicht -.-

  6. Weltraummann says:

    Also die Leute denen ich sowas erzähle sagen dann immer nur: „Mir egal, ich hab ja nichts zu verbergen“. Daher wirds dem Großteil der Nutzer auch nichts ausmachen. Wer heute noch nicht zu etwas alternativem gewechselt ist, wirds auch in Zukunft nicht tun.

  7. Bitte nicht immer Threema empfehlen – das ist genauso closed-source wie WA und somit ist absolut nicht sicher ob dort nicht auch Hintertüren eingebaut sind oder in Zukunft eingebaut werden.

  8. Hat sich außer mir noch jemand gewundert, warum trotz Ende zu Ende Verschlüsselung unter iOS WhatsApp Nachrichten im Klartext im Homescreen anzeigen kann, während Threema das nicht kann, weil die Nachricht ja verschlüsselt ist?

    Ich habe die Push Nachrichten von iOS so verstanden, dass sie im Gegensatz zu Android gerade nicht die App im Hintergrund öffnen können um z.B. die Nachricht zu entschlüsseln. Bei Threema geht das nicht, wie soll WhatsApp das dann machen?

    Eigentlich kann das dann doch nur sein, wenn WhatsApp oder Apple die Nachricht an mich entschlüsselt und dann als push mitteilung sendet, oder hab ich da jetzt nen Denkfehler?

  9. @Marek Threema wurde doch gar nicht erwähnt 😉

  10. Resignator says:

    Ob nun Whatsaoo, Threema oder Telegram, woher soll ich wissen welcher Messanger sicher ist und welcher nicht? Ich kann mich nur auf die Meinung von „Experten“ verlassen. Aber woher soll ich wissen ob diese vertrauenswürdig sind oder nicht? Eigentlich sollte man nur Belanglosigkeiten über diese Messanger austauschen, aber was ist belanglos oder nicht? Ob Messanger, Browser, irgendwelche Programme oder das Betriebssystem selbst, Alles könnte mich bespitzeln und ausspionieren. Permanente Paranoia ist der Preis, den wir für die „digitale Bequemlichkeit“ zahlen. Allerdings waren wir auch in der „vordigitalen“ Welt recht gläsern. Die Mittel und Methoden um Daten abzuschöpfen, waren nur andere. Kurz und gut, ob ich nun Whatsapp nutze oder nicht, es finden sich immer Wege um mein digitales Leben „mitzulesen“. Einfach resignieren und sich nackt machen, dann ist man wenigstens die Paranoia los. Warum soll ich mir ein Kopf um Sachen machen, auf die ich keinen Einfluss habe? Eine Alternative wäre noch das ganze digitale Hexenwerk nicht zu nutzen. Aber das ist in dieser Welt so gut wie unmöglich,

  11. ich verstehe die threemaempfehlungen auch nicht. was ist schon an einer software sicher, deren quellcode nicht überprüft werden kann?

  12. @Rainer
    Doch, in Caschys Artikel.

  13. @fabi: Ja das ist die Nummer; wenn du die Meldung „Die Sicherheitsnummer von xy hat sich geändert“ siehst kannst du reagieren (nachfragen ob derjenige ein neues Handy hat). Es kann dann aber eben sein, dass aufgrund des beschriebenen Fehlers einige Nachrichten direkt vor dieser Meldung abgegriffen worden sind

  14. @Daniel: Danke
    das heißt für mich WA ist immer noch save 😀

  15. leosmutter says:

    Whatsapp hat das Problem des Schlüsselaustausches bei „Offline“-Nutzern wohl etwas „benutzerfreundlicher“ zu gestalten versucht. Wie es besser geht sieht man ja bei Signal. Ein generelles Problem ist ja dieser Schlüsselaustausch zwischen den Benutzern. Bei normalen Messengern ist das ja kein Problem, aber gerade beim mobilen Diensten ohne ständige Verbindung ist das alles eine Herausforderung. Dass man dann aber auch einen „re-encrypt“ anbietet im Fall eines neuen Schlüssels ist echt ein Fail oder Backdoor. Auf jeden Fall etwas, das man wirklich schleunigst beheben sollte.

    Um nochmal auf Threema zurück zu kommen. Ja, es ist closed source und blablabla. Aber dieses Ampel-System vor den Benutzernamen um anzuzeigen ob der Schlüssel geändert wurde, ist echt ein gute Idee.

  16. Regierungen und Geheimdienste interessieren sich sowieso hauptsächlich für Metadaten, also wer wann wie oft mit wem kommuniziert. Und die liefern Whatsapp und Threema auf dem Präsentierteller.

    Aber in Closed-Source-Messengern wie Whatsapp oder Threema kann der Entwickler sowieso jede beliebige Hintertür einbauen.

  17. Jede Kommunikations-Software, die aus den USA kommt oder dort nicht verboten ist, hat per se Backdoors zum Mithören. Das sollte langsam jedem klar sein. Es ist dort auch per Gesetz verboten, Verschlüsselungssoftware ohne Backdoor auf den Markt zu bringen.

  18. Threema Audits bezeichneten Sicherheit, Verschlüsselung beruht auf Open Source,, Server stehen in der Schweiz, Software stammt aus der Schweiz, Traffic wurde überprüft und es konnte sichergestellt werden, daß nur der für den Traffic notwendige Teil gesendet wurde. Mit anderen Worten, die fur closed Source maximal mögliche Sicherheit ist gewährleistet. Vor allem, wenn der Traffic sauber und untersuchbar ist, ist es ok.

  19. Ich nutze Japper/xmpp client und Server open source:
    Conversations & prosody (raspberry), ejabberd wäre auch noch möglich, prosody ist aber Ressourcen schonender. Somit kann jeder das selbst dieses privat auf seiner Hardware, auch nas betreiben. Jedoch ist bei vielen die Bequemlichkeit, bei anderen die Naivität… – wie auch immer.

    Bei threema fällt mir noch ein, das die Firma auf Grund der Gesetzeslage überlegt die Schweiz zu verlassen. Dazu kommt wie man bei der Fussball-Affäre gesehen hat, die enge Zusammenarbeit mit den USA. Auch konnten wir in den letzten 100 Jahren sehen, dass vieles moralisch egal ist ,wenn das Geld klimpert bei den Schweizern, das sind doch die Egoisten von Europa!!!

    PS: signal hab ich getestet, für mich sieht das alles nach beta aus, anstatt neue Funktionen einzubauen, wäre es ratsam die vorhandenen stabil am laufen zu behalten. Auch nutzt Signal eine zentrale Serverstruktur.

    Interessant könnte Briar werden: open source, Verbindung ohne Server per P2P, Verbindung über Tor (eingebaut)
    https://briarproject.org/index.html

  20. @Volker: Wie liefert Threema bitte Metadaten ‚wie auf dem Präsentierteller? 😉

  21. Nur weil eine Software Open Source ist, heißt es lange nicht das diese sicherer ist. Es gibt genug Beispiele wo hier über einen langen Zeitraum extreme Sicherheitslücken bestanden haben. Problem sind überall die gleichen, fehlendes Geld, qualifizierte Entwickler, usw.

    Nur weil etwas Open Source ist, traue ich dieser weniger als von einem Unternehmen welches ich vertraue. Hier gehört Facebook sicherlich nicht da zu.

  22. @Fraggle Security-Audits sagen absolut nichts über die Glaubwürdigkeit der Sicherheitsversprechen über eine closed-source Software aus. Vorallem bei Threema sind diese Audits auch noch schlecht umgesetzt – gerade mal eine Prüfung im August 2015 gab es, von einer ziemlich unbekannten Cnlab Security AG…

  23. Da magst du teilweise recht haben, jedoch zähle ich ein unternehmen aus nicht zu den sicheren, wenn diese erst einmal das komplette Telefonbuch durchsuchen und dieses nach FB kopieren! Das Zuckerberg auch nur ein kleiner geldg**ler Wicht ist, sollte auch jeden klar sein.

  24. Sorry, letztere ging an @Juke

  25. „“WhatsApp does not give governments a “backdoor” into its systems and would fight any government request to create a backdoor.“

    tja das heißt nur das WA keine Backdoors der NSA … gibt , das heißt nicht das die NSA keinen hat und WA das toleriert. Außerdem würde WA ja gegen gültiges US Recht verstoßen wenn sie dort keinen Zugang leisten würden.

    Aber mal ehrlich, wer hat denn Bitte geglaubt das WA „sicher“ ist – die Annahme ist schlicht Blödsinn.

  26. @ Mr.Magoo
    100%! Facebook ist neben Google das Unternehmen welches ich am wenigsten vertraue. Nicht ohne Grund wurde der Unternehmensspruch „don’t be evil“ verbannt.

    Ich bekomme immer nur die Krise wenn Menschen generell behaupten das Open Source sicherer ist, ja unter Umständen, wenn genug Geld vorhanden ist, wenn nicht zu viele Entwickler rum fuschen und die die dran arbeiten fähig sind.

  27. @Juke,

    Firmen wie FB,Google,M$, Cosco, Apple ect traue ich keines wegens und konnte man noch NIE trauen. Man könnte es auf das ganze „Silicon Valley“ ausweiten, da die Erfinder von gestern die Geldgeber von heute sind – Kollateralschäden sind dabei eingeplant!
    Das beschreibt aber nur meine Meinung

  28. Glockengaby says:

    Immer wieder überraschend, dass es noch aufgeklärte Menschen zu geben scheint, die WA nutzen. Warum? In meinem Freundeskreis sind dort alle weg, Signal und Threema sind schlichtweg vertrauenswürdiger!

  29. Mich würde es wundern, wenn WhatsApp keine Hintertüre hätte! Wer WhatsApp nutzt müsste eigentlich wissen, dass nicht alles „sicher“ vor Dritten ist.

  30. savantorian says:

    Wenn Trottel schreiben, es sei egal, ob man ihren Mist mitliest, sind genau diese ein grosser Teil des Problems, dass sich nichts ändern wird.

  31. Threema statt WA nutzen und gut ist!

    Und für alle Zweifler:

    Über Threema ist noch NIE derartiges berichtet worden – keine Hintertür – keine Speicherung von Metadaten – absolut nichts.

    Threema ist komplett skandalfrei – seit über 3 Jahren!

    Threema ist noch nie geknackt worden!

    Threema gehört nicht zu einem großen Ami-Konzern, der sein Geld mit der Verletzung von Persönlichkeitsrechten verdient.

    Und Closed-Source ist bei einem Verschlüsselten Messenger eher ein Feature, als ein Manko! Weil keine Hacker ihn umschreiben und ihn Usern unterjubeln kann!

  32. @RegenB

    LOL, arbeitest bei Threema?

  33. Hach… da sind sie wieder. Die Kommentatoren die Threema über alles loben und für die die Werbetrommel rühren. Verstehe nicht wie man eine Firma die Millionen verdient mit dieser Software und trotzdem mehr als 1,5 Jahre braucht um offensichtliche Bugs zu fixen so loben kann.

  34. Hier auch ein Statement von Whisper Systems (den Erfindern des Signal Protokolls): https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/

  35. @RegenB: Ja, Threema ist lange nicht so häufig in der Diskussion. Aber über den am häufigsten genutzten Messenger wird nun mal naturgemäß mehr berichtet als über andere. Daraus zu schließen, andere hätten keine Mankos, halte ich für zu kurz geblickt.

  36. Threema wird nur in deutschsprachigen Medien gehypt. International benutzt das keine Sau.

  37. Von Open Whisper Systems gibt es auch eine ausführliche Erklärung. Es scheint eher als wenn der Guardian Artikel einfach nicht gut recherchiert war und die Ansätze von Tobias Boelter nicht hinterfragt / geprüft wurden.
    https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/

  38. Ich habe mir mal das Video dazu angeschaut, wo die Lücke demonstriert wird. Ich bin kein Fachmann für Verschlüsselung, verstehe auch zu wenig davon, um die technischen Details beurteilen zu können, aber in dieser Demonstration hatte die „Regierung“ Zugriff auf die Simkarte des Empfängers der geheimen Nachricht. Und wenn ein dritter Zugriff auf die Simkarte hat, kann der selbstverständlich Nachrichten lesen, war eigentlich nicht für ihn bestimmt sind. Das liegt einfach in der Natur der Sache und ist nach meinem Verständnis etwas ganz anderes, als wenn die Nachrichten mittendrin abgefangen und entschlüsselt werden können. Insofern wird hier m.E. wieder mal ein im Grunde völlig selbstverständlicher Vorgang als Sicherheitsrisiko hochgespielt.