Bericht: WhatsApp soll Hintertür haben

(Update: Unten haben wir ein Statement von WhatsApp angehangen) Einige werden nun überrascht schauen, anderen wird die Nachricht des Guardian sicher nur ein „Ach was?“ entlocken. WhatsApp soll eine Hintertür haben, die seit mindestens April 2016 im Messenger implementiert ist. Normalerweise verschlüsselt WhatsApp die Nachrichten zwischen den Teilnehmern Ende-zu-Ende, hierfür setzt man auf die als sicher geltende Protokoll-Lösung von Open Whisper Systems. Der „Fehler“ soll nicht in diesem Protokoll liegen, allerdings soll WhatsApp in der Lage sein, neue Schlüssel für Offline-Nutzer zu generieren und so theoretisch Nachrichten mitlesen zu können, ohne dass dies der Nutzer mitbekommt.

Sicherheitsexperte Tobias Boelter, der die Lücke gefunden hat, sagt gegenüber dem Guardian aus, dass WhatsApp theoretisch durch den Tausch von Schlüsseln auch Regierungen Zugang zu Inhalten gegeben werden kann.

The Guardian:

WhatsApp has the ability to force the generation of new encryption keys for offline users, unbeknown to the sender and recipient of the messages, and to make the sender re-encrypt messages with new keys and send them again for any messages that have not been marked as delivered.

Boelter meldete die Lücke im April 2016. Facebook soll ihm mitgeteilt haben, dass es sich um ein „erwartetes Verhalten“ handle und Facebook „das Problem“ kenne. Man arbeite nicht aktiv an der Behebung. Laut Guardian habe nachvollziehen können, das diese Hintertür noch existiert. Andere Sicherheitsforscher, die der Meinung seien, dass diese Möglichkeit nur den Angriff auf gezielt einzelne Nachrichten erlaube, sollen falsch liegen, so Boeder:

„This is not true if you consider that the WhatsApp server can just forward messages without sending the ‘message was received by recipient’ notification (or the double tick), which users might not notice. Using the retransmission vulnerability, the WhatsApp server can then later get a transcript of the whole conversation, not just a single message.“

https://www.youtube.com/watch?v=VmgfXkVQwpc#t=48m14s

Interessante Geschichte und ich bin schon gespannt, wie WhatsApp und Facebook sich dazu äußern, wenn überhaupt. Alternativen zu WhatsApp gibt es sicherlich, falls man trotz der Tatsache, dass man vielleicht viele Kontaktmöglichkeiten verliert, wechseln möchte. Threema beispielsweise – oder Signal direkt.

Update 13. Januar 16:30 Uhr, wir haben ein Statement von der Presseabteilung von WhatsApp bekommen: 

Info:

“The Guardian posted a story this morning claiming that an intentional design decision in WhatsApp that prevents people from losing millions of messages is a “backdoor” allowing governments to force WhatsApp to decrypt message streams.** This claim is false.
“WhatsApp does not give governments a “backdoor” into its systems and would fight any government request to create a backdoor. The design decision referenced in the Guardian story prevents millions of messages from being lost, and WhatsApp offers people security notifications to alert them to potential security risks. WhatsApp published a technical white paper on its encryption design, and has been transparent about the government requests it receives, publishing data about those requests in the Facebook Government Requests Report.)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

38 Kommentare

  1. Nicht neues und alles aufgebauscht. Man sollte mal überlegen warum das gemacht wird. Wer mehr Hintergrundwissen will und warum das gemacht wird sollte mal den Twitter Account von Signal iOS Entwickler Frederic Jacobs lesen: https://twitter.com/FredericJacobs Viel kritischer sind Onlinebackups von WhatsApp <- und da ist die wahre Sicherheitslücke wenn man Angst vor der NSA hat 😉

  2. Wenn man unter „Einstellungen“ – „Account“ – „Sicherheit“ schaut, kann man einstellen, ob man informiert werden möchte, wenn sich die Sicherheitsnummer eines Kontaktes ändert.
    Ist das auch die Nummer die in der News erwähnt wird?

  3. wie bei win10 gibt es auch dort einstellungen zur überwachungseinstellung, aber wer glaubt ernsthaft dass diese auch tatsächlich greifen wenn der anbieter es nicht möchte. wa facebook w10, das sind alles kandidaten bei dennen man sicher sein kann dass es nicht seriös zugeht. wer das nutzt sollte das nur wissen und selbst entscheiden aber nicht hinterher klagen

  4. Glaubt doch nicht wirklich jemand, dass noch irgendetwas „sicher“ ist oder?

  5. Wenn ich mich recht entsinne, konnte man früher noch seine eigene Sicherheitsnummer sehen. Entweder es wurde entfernt, oder ich finde sie gerade einfach nicht -.-

  6. Weltraummann says:

    Also die Leute denen ich sowas erzähle sagen dann immer nur: „Mir egal, ich hab ja nichts zu verbergen“. Daher wirds dem Großteil der Nutzer auch nichts ausmachen. Wer heute noch nicht zu etwas alternativem gewechselt ist, wirds auch in Zukunft nicht tun.

  7. Bitte nicht immer Threema empfehlen – das ist genauso closed-source wie WA und somit ist absolut nicht sicher ob dort nicht auch Hintertüren eingebaut sind oder in Zukunft eingebaut werden.

  8. Hat sich außer mir noch jemand gewundert, warum trotz Ende zu Ende Verschlüsselung unter iOS WhatsApp Nachrichten im Klartext im Homescreen anzeigen kann, während Threema das nicht kann, weil die Nachricht ja verschlüsselt ist?

    Ich habe die Push Nachrichten von iOS so verstanden, dass sie im Gegensatz zu Android gerade nicht die App im Hintergrund öffnen können um z.B. die Nachricht zu entschlüsseln. Bei Threema geht das nicht, wie soll WhatsApp das dann machen?

    Eigentlich kann das dann doch nur sein, wenn WhatsApp oder Apple die Nachricht an mich entschlüsselt und dann als push mitteilung sendet, oder hab ich da jetzt nen Denkfehler?

  9. @Marek Threema wurde doch gar nicht erwähnt 😉

  10. Ob nun Whatsaoo, Threema oder Telegram, woher soll ich wissen welcher Messanger sicher ist und welcher nicht? Ich kann mich nur auf die Meinung von „Experten“ verlassen. Aber woher soll ich wissen ob diese vertrauenswürdig sind oder nicht? Eigentlich sollte man nur Belanglosigkeiten über diese Messanger austauschen, aber was ist belanglos oder nicht? Ob Messanger, Browser, irgendwelche Programme oder das Betriebssystem selbst, Alles könnte mich bespitzeln und ausspionieren. Permanente Paranoia ist der Preis, den wir für die „digitale Bequemlichkeit“ zahlen. Allerdings waren wir auch in der „vordigitalen“ Welt recht gläsern. Die Mittel und Methoden um Daten abzuschöpfen, waren nur andere. Kurz und gut, ob ich nun Whatsapp nutze oder nicht, es finden sich immer Wege um mein digitales Leben „mitzulesen“. Einfach resignieren und sich nackt machen, dann ist man wenigstens die Paranoia los. Warum soll ich mir ein Kopf um Sachen machen, auf die ich keinen Einfluss habe? Eine Alternative wäre noch das ganze digitale Hexenwerk nicht zu nutzen. Aber das ist in dieser Welt so gut wie unmöglich,

  11. ich verstehe die threemaempfehlungen auch nicht. was ist schon an einer software sicher, deren quellcode nicht überprüft werden kann?

  12. @Rainer
    Doch, in Caschys Artikel.

  13. @fabi: Ja das ist die Nummer; wenn du die Meldung „Die Sicherheitsnummer von xy hat sich geändert“ siehst kannst du reagieren (nachfragen ob derjenige ein neues Handy hat). Es kann dann aber eben sein, dass aufgrund des beschriebenen Fehlers einige Nachrichten direkt vor dieser Meldung abgegriffen worden sind

  14. @Daniel: Danke
    das heißt für mich WA ist immer noch save 😀

  15. Whatsapp hat das Problem des Schlüsselaustausches bei „Offline“-Nutzern wohl etwas „benutzerfreundlicher“ zu gestalten versucht. Wie es besser geht sieht man ja bei Signal. Ein generelles Problem ist ja dieser Schlüsselaustausch zwischen den Benutzern. Bei normalen Messengern ist das ja kein Problem, aber gerade beim mobilen Diensten ohne ständige Verbindung ist das alles eine Herausforderung. Dass man dann aber auch einen „re-encrypt“ anbietet im Fall eines neuen Schlüssels ist echt ein Fail oder Backdoor. Auf jeden Fall etwas, das man wirklich schleunigst beheben sollte.

    Um nochmal auf Threema zurück zu kommen. Ja, es ist closed source und blablabla. Aber dieses Ampel-System vor den Benutzernamen um anzuzeigen ob der Schlüssel geändert wurde, ist echt ein gute Idee.

  16. Regierungen und Geheimdienste interessieren sich sowieso hauptsächlich für Metadaten, also wer wann wie oft mit wem kommuniziert. Und die liefern Whatsapp und Threema auf dem Präsentierteller.

    Aber in Closed-Source-Messengern wie Whatsapp oder Threema kann der Entwickler sowieso jede beliebige Hintertür einbauen.

  17. Jede Kommunikations-Software, die aus den USA kommt oder dort nicht verboten ist, hat per se Backdoors zum Mithören. Das sollte langsam jedem klar sein. Es ist dort auch per Gesetz verboten, Verschlüsselungssoftware ohne Backdoor auf den Markt zu bringen.

  18. Threema Audits bezeichneten Sicherheit, Verschlüsselung beruht auf Open Source,, Server stehen in der Schweiz, Software stammt aus der Schweiz, Traffic wurde überprüft und es konnte sichergestellt werden, daß nur der für den Traffic notwendige Teil gesendet wurde. Mit anderen Worten, die fur closed Source maximal mögliche Sicherheit ist gewährleistet. Vor allem, wenn der Traffic sauber und untersuchbar ist, ist es ok.

  19. Ich nutze Japper/xmpp client und Server open source:
    Conversations & prosody (raspberry), ejabberd wäre auch noch möglich, prosody ist aber Ressourcen schonender. Somit kann jeder das selbst dieses privat auf seiner Hardware, auch nas betreiben. Jedoch ist bei vielen die Bequemlichkeit, bei anderen die Naivität… – wie auch immer.

    Bei threema fällt mir noch ein, das die Firma auf Grund der Gesetzeslage überlegt die Schweiz zu verlassen. Dazu kommt wie man bei der Fussball-Affäre gesehen hat, die enge Zusammenarbeit mit den USA. Auch konnten wir in den letzten 100 Jahren sehen, dass vieles moralisch egal ist ,wenn das Geld klimpert bei den Schweizern, das sind doch die Egoisten von Europa!!!

    PS: signal hab ich getestet, für mich sieht das alles nach beta aus, anstatt neue Funktionen einzubauen, wäre es ratsam die vorhandenen stabil am laufen zu behalten. Auch nutzt Signal eine zentrale Serverstruktur.

    Interessant könnte Briar werden: open source, Verbindung ohne Server per P2P, Verbindung über Tor (eingebaut)
    https://briarproject.org/index.html

  20. @Volker: Wie liefert Threema bitte Metadaten ‚wie auf dem Präsentierteller? 😉

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.