Bericht: WhatsApp soll Hintertür haben
von caschy | 38 Kommentare
(Update: Unten haben wir ein Statement von WhatsApp angehangen) Einige werden nun überrascht schauen, anderen wird die Nachricht des Guardian sicher nur ein „Ach was?“ entlocken. WhatsApp soll eine Hintertür haben, die seit mindestens April 2016 im Messenger implementiert ist. Normalerweise verschlüsselt WhatsApp die Nachrichten zwischen den Teilnehmern Ende-zu-Ende, hierfür setzt man auf die als sicher geltende Protokoll-Lösung von Open Whisper Systems. Der „Fehler“ soll nicht in diesem Protokoll liegen, allerdings soll WhatsApp in der Lage sein, neue Schlüssel für Offline-Nutzer zu generieren und so theoretisch Nachrichten mitlesen zu können, ohne dass dies der Nutzer mitbekommt.
Sicherheitsexperte Tobias Boelter, der die Lücke gefunden hat, sagt gegenüber dem Guardian aus, dass WhatsApp theoretisch durch den Tausch von Schlüsseln auch Regierungen Zugang zu Inhalten gegeben werden kann.
WhatsApp has the ability to force the generation of new encryption keys for offline users, unbeknown to the sender and recipient of the messages, and to make the sender re-encrypt messages with new keys and send them again for any messages that have not been marked as delivered.
Boelter meldete die Lücke im April 2016. Facebook soll ihm mitgeteilt haben, dass es sich um ein „erwartetes Verhalten“ handle und Facebook „das Problem“ kenne. Man arbeite nicht aktiv an der Behebung. Laut Guardian habe nachvollziehen können, das diese Hintertür noch existiert. Andere Sicherheitsforscher, die der Meinung seien, dass diese Möglichkeit nur den Angriff auf gezielt einzelne Nachrichten erlaube, sollen falsch liegen, so Boeder:
„This is not true if you consider that the WhatsApp server can just forward messages without sending the ‘message was received by recipient’ notification (or the double tick), which users might not notice. Using the retransmission vulnerability, the WhatsApp server can then later get a transcript of the whole conversation, not just a single message.“
https://www.youtube.com/watch?v=VmgfXkVQwpc#t=48m14s
Interessante Geschichte und ich bin schon gespannt, wie WhatsApp und Facebook sich dazu äußern, wenn überhaupt. Alternativen zu WhatsApp gibt es sicherlich, falls man trotz der Tatsache, dass man vielleicht viele Kontaktmöglichkeiten verliert, wechseln möchte. Threema beispielsweise – oder Signal direkt.
Update 13. Januar 16:30 Uhr, wir haben ein Statement von der Presseabteilung von WhatsApp bekommen:
“The Guardian posted a story this morning claiming that an intentional design decision in WhatsApp that prevents people from losing millions of messages is a “backdoor” allowing governments to force WhatsApp to decrypt message streams.** This claim is false.
“WhatsApp does not give governments a “backdoor” into its systems and would fight any government request to create a backdoor. The design decision referenced in the Guardian story prevents millions of messages from being lost, and WhatsApp offers people security notifications to alert them to potential security risks. WhatsApp published a technical white paper on its encryption design, and has been transparent about the government requests it receives, publishing data about those requests in the Facebook Government Requests Report.)
Wird geladen ...
Nur weil eine Software Open Source ist, heißt es lange nicht das diese sicherer ist. Es gibt genug Beispiele wo hier über einen langen Zeitraum extreme Sicherheitslücken bestanden haben. Problem sind überall die gleichen, fehlendes Geld, qualifizierte Entwickler, usw.
Nur weil etwas Open Source ist, traue ich dieser weniger als von einem Unternehmen welches ich vertraue. Hier gehört Facebook sicherlich nicht da zu.
@Fraggle Security-Audits sagen absolut nichts über die Glaubwürdigkeit der Sicherheitsversprechen über eine closed-source Software aus. Vorallem bei Threema sind diese Audits auch noch schlecht umgesetzt – gerade mal eine Prüfung im August 2015 gab es, von einer ziemlich unbekannten Cnlab Security AG…
Da magst du teilweise recht haben, jedoch zähle ich ein unternehmen aus nicht zu den sicheren, wenn diese erst einmal das komplette Telefonbuch durchsuchen und dieses nach FB kopieren! Das Zuckerberg auch nur ein kleiner geldg**ler Wicht ist, sollte auch jeden klar sein.
Sorry, letztere ging an @Juke
„“WhatsApp does not give governments a “backdoor” into its systems and would fight any government request to create a backdoor.“
tja das heißt nur das WA keine Backdoors der NSA … gibt , das heißt nicht das die NSA keinen hat und WA das toleriert. Außerdem würde WA ja gegen gültiges US Recht verstoßen wenn sie dort keinen Zugang leisten würden.
Aber mal ehrlich, wer hat denn Bitte geglaubt das WA „sicher“ ist – die Annahme ist schlicht Blödsinn.
@ Mr.Magoo
100%! Facebook ist neben Google das Unternehmen welches ich am wenigsten vertraue. Nicht ohne Grund wurde der Unternehmensspruch „don’t be evil“ verbannt.
Ich bekomme immer nur die Krise wenn Menschen generell behaupten das Open Source sicherer ist, ja unter Umständen, wenn genug Geld vorhanden ist, wenn nicht zu viele Entwickler rum fuschen und die die dran arbeiten fähig sind.
@Juke,
Firmen wie FB,Google,M$, Cosco, Apple ect traue ich keines wegens und konnte man noch NIE trauen. Man könnte es auf das ganze „Silicon Valley“ ausweiten, da die Erfinder von gestern die Geldgeber von heute sind – Kollateralschäden sind dabei eingeplant!
Das beschreibt aber nur meine Meinung
Immer wieder überraschend, dass es noch aufgeklärte Menschen zu geben scheint, die WA nutzen. Warum? In meinem Freundeskreis sind dort alle weg, Signal und Threema sind schlichtweg vertrauenswürdiger!
Mich würde es wundern, wenn WhatsApp keine Hintertüre hätte! Wer WhatsApp nutzt müsste eigentlich wissen, dass nicht alles „sicher“ vor Dritten ist.
Wenn Trottel schreiben, es sei egal, ob man ihren Mist mitliest, sind genau diese ein grosser Teil des Problems, dass sich nichts ändern wird.
Threema statt WA nutzen und gut ist!
Und für alle Zweifler:
Über Threema ist noch NIE derartiges berichtet worden – keine Hintertür – keine Speicherung von Metadaten – absolut nichts.
Threema ist komplett skandalfrei – seit über 3 Jahren!
Threema ist noch nie geknackt worden!
Threema gehört nicht zu einem großen Ami-Konzern, der sein Geld mit der Verletzung von Persönlichkeitsrechten verdient.
Und Closed-Source ist bei einem Verschlüsselten Messenger eher ein Feature, als ein Manko! Weil keine Hacker ihn umschreiben und ihn Usern unterjubeln kann!
@RegenB
LOL, arbeitest bei Threema?
Hach… da sind sie wieder. Die Kommentatoren die Threema über alles loben und für die die Werbetrommel rühren. Verstehe nicht wie man eine Firma die Millionen verdient mit dieser Software und trotzdem mehr als 1,5 Jahre braucht um offensichtliche Bugs zu fixen so loben kann.
Hier auch ein Statement von Whisper Systems (den Erfindern des Signal Protokolls): https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
@RegenB: Ja, Threema ist lange nicht so häufig in der Diskussion. Aber über den am häufigsten genutzten Messenger wird nun mal naturgemäß mehr berichtet als über andere. Daraus zu schließen, andere hätten keine Mankos, halte ich für zu kurz geblickt.
Threema wird nur in deutschsprachigen Medien gehypt. International benutzt das keine Sau.
Von Open Whisper Systems gibt es auch eine ausführliche Erklärung. Es scheint eher als wenn der Guardian Artikel einfach nicht gut recherchiert war und die Ansätze von Tobias Boelter nicht hinterfragt / geprüft wurden.
https://whispersystems.org/blog/there-is-no-whatsapp-backdoor/
Ich habe mir mal das Video dazu angeschaut, wo die Lücke demonstriert wird. Ich bin kein Fachmann für Verschlüsselung, verstehe auch zu wenig davon, um die technischen Details beurteilen zu können, aber in dieser Demonstration hatte die „Regierung“ Zugriff auf die Simkarte des Empfängers der geheimen Nachricht. Und wenn ein dritter Zugriff auf die Simkarte hat, kann der selbstverständlich Nachrichten lesen, war eigentlich nicht für ihn bestimmt sind. Das liegt einfach in der Natur der Sache und ist nach meinem Verständnis etwas ganz anderes, als wenn die Nachrichten mittendrin abgefangen und entschlüsselt werden können. Insofern wird hier m.E. wieder mal ein im Grunde völlig selbstverständlicher Vorgang als Sicherheitsrisiko hochgespielt.