WhatsApp: Zitat-Funktion anfällig für Angriff

Die Sicherheitsfirma Check Point berichtet darüber, dass WhatsApp angreifbar sei. In dem sehr komplexen Beitrag geht man auf die technischen Details ein. Versierte Angreifer könnten nach Übernahme des Netzwerkes als Man-in-the-Middle fungieren, sofern das Opfer via Smartphone mit WhatsApp auf dem Desktop verbunden ist.

Angreifer können so nicht nur Nachrichten abgreifen, sondern auch solche in privaten als auch in Gruppen-Unterhaltungen manipulieren. Die ausgenutzte Schwachstelle sorgt dafür, dass Angreifer Zitate ändern können, sodass es so wirken könnte als hätte die betreffende Person etwas geschrieben, was sie aber nicht hat:

  1. Use the ‘quote’ feature in a group conversation to change the identity of the sender, even if that person is not a member of the group.
  2. Alter the text of someone else’s reply, essentially putting words in their mouth.
  3. Send a private message to another group participant that is disguised as a public message for all, so when the targeted individual responds, it’s visible to everyone in the conversation.

Vor der Veröffentlichung habe man WhatsApp über die Erkenntnisse informiert, da man bei Check Point der Meinung sei, dass es sich um eine schwerwiegende Lücke handelt, die man beachten müsse.

Gegenüber der New York Times hat ein WhatsApp-Sprecher ein Statement abgegeben.

„Wir haben dieses Problem sorgfältig geprüft und es ist das Äquivalent zur Änderung einer E-Mail. Was Check Point entdeckt hat, hat nichts mit der Sicherheit der so genannten End-to-End-Verschlüsselung von WhatsApp zu tun, die sicherstellt, dass nur Sender und Empfänger Nachrichten lesen können“.

WhatsApp räumte ein, dass es für jemanden möglich sei, die Zitatfunktion zu manipulieren, aber das Unternehmen stimmte nicht zu, dass es ein Fehler sei. WhatsApp teilte mit, dass das System so funktioniere, wie es beabsichtigt ist.

Der sicherlich schrägste Satz in dem Statement: Die Kompromisse, eine solche Täuschung zu verhindern, seien zu groß. Jede Nachricht müsse sonst verifiziert werden, was ein enormes Risiko für die Privatsphäre darstellen würde. Nutzer, die die Lücke ausnutzen und gefunden werden, werden von WhatsApp vom Dienst blockiert.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

18 Kommentare

  1. Michel Ehlert says:

    Gut das ich whatsapp schon lange nicht mehr nutze

  2. Das Thema an sich möchte ich nicht kommentieren, aber WhatsApp ist im Play Store auf Platz 2 der Top-Charts…

  3. glaub das ruhig… was dort gemacht kann keine weissen, da closed source!
    Da die Schweizer nichts umsonst machen und sehr eng mit den USA zusammenarbeiten wiegst Du dich in einer falschen Sicherheit.

    Alternativen die open source sind gibt es, mit der gleichen Verschlüsselung und sogar umsonst – für mich die besseren alternativen!

    • „Alternativen die open source sind gibt es, mit der gleichen Verschlüsselung und sogar umsonst – für mich die besseren alternativen!“

      Mit Serverstandort in den USA sind die bestimmt „ganz ganz“ sicher…. LOL

      • Wer sagt das die Server in USA stehen müssen? Wie wäre es einmal mit eine eigenen? Prosody…
        Oder Briar, welche über Tor und P2P direkt verbindet – ohne Server…

        • @Mr. Magoo:
          Hach ja, ich liebe deine Kommentare, weil sie so herrlich undifferenziert sind. Das heißt du nutzt grundsätzlich keine Apps auf dem Smartphone? Dann solltest du schnell dein Smartphone verkaufen, da sämtliche Apps entweder mit amerikanischen oder mit europäischen Servern kommunizieren. In Europa arbeitet „nahezu“ jedes Land mit den Amerikanern zusammen (aus guten Gründen), heißt aber nicht dass auch jedes Unternehmen mit der Regierung zusammenarbeiten muss bzw. die Daten weiterleiten muss. Ich verstehe deine Argumentation absolut nicht. Die Server der Threema GmbH sind in der Schweiz. Die Threema GmbH ist erstmal ein normales Unternehmen. Hast du Beweise dafür, dass Threema deine Kommunikation an die schweizerische Regierung weiterleitet und die dann an die amerikanische Regierung? Behaupten kann man viel.

          Ich möchte auch mal auf DEINE ewige undifferenzierte Open-Source/Closed Source-Diskussion eingehen. „Open-Source“ bezieht sich erstmal NUR auf den Quellcode der jeweiligen App, nicht auf die Arbeitsweise/Technik der Infrastruktur die dahintersteckt. Soll also heißen: Auch wenn du eine Open-Source-App nutzt, weißt du dennoch nicht was mit deinen Daten auf deren Server passiert, sofern man kein eigenen Server hat (wie du bereits erwähnt hast). Heißt im Umkehrschluss: Selbst bei einer Open-Source-App musst du erstmal dem Unternehmen vertrauen, dass der Datenschutz und die Datensicherheit eingehalten wird bei deinen übermittelten Daten/Metadaten usw.

          Wenn man liest was du schreibst, dann hat man schnell das Gefühl dass du dich furchtbar verfolgt fühlst.

          Du solltest mal lernen zu „differenzieren“, da du indirekt pauschal die Aussage triffst „…die arbeiten mit den Amerikanern zusammen!“. Hast du Beweise welche Unternehmen mit Regierungen zusammenarbeiten oder zusammenarbeiten „müssen“? Ich bezweifel das, ganz ehrlich.

          Wenn man etwas behauptet, dann sollte man es auch beweisen können!

          • und Du willst mir also meine Meinung vorschreiben? Stell Dir einmal vor ich nutze mein Telefon wirklich zum telefonieren. Ich brauche keine Apps, spiele nicht und meine Termine, Kontakte sind auf meine Server gespeichert genau wie chatdaten. Als OS nutze ich aktuell Lineage…und nun?

            Ich finde wer seine Daten an Dienste gibt, Apps nutz sollte auch davon ausgehen das diese Daten weiterverwendet werden. da sich aber die wenigstens eine Kopf machen, weil das andere auch so machen ist es ok?

            Was Deine letzten Absatz angehst, kannst d´Du ja Herr Winterkorn empfehlen Urlaub in der Schweiz zu machen. Historisch gesehen hat die Schweiz sich immer denen hin gegeben, wo der meiste Profit erwirtschaftet werden konnte. Das konnte man gut an Raubkunst/Gold, Steuer-CD, Geheimdienstarbeit mit USA usw sehen.

            Du hast Deine Meinung – ich meine!

            • @Mr. Magoo:
              Ich gebe dir in vielen Punkte sogar Recht und will dir auch nicht eine bestimmte Meinung vorschreiben, aber du triffst pauschal die Aussagen „…die arbeiten mit den Amerikanern zusammen!“. Ich bin immer der Meinung, wenn man etwas behauptet, dann sollte man es auch beweisen können, denn behaupten kann man viel.

              Ach, btw: Während du auf 99% aller Webseiten surfst, gibst du deine Daten schon an Google weiter. So viel zum Thema: „Daten an Dienste weitergeben“.

              Will dich gar nicht angreifen, bitte nicht persönlich auffassen, aber man sollte mit Pauschalaussagen sehr vorsichtig sein. Die Server von Signal stehen auch in den USA, heißt aber nicht automatisch dass deine Daten in Gefahr sind.

            • Magoo? Ich gebe Dennis schon Recht und mit vielen Dingen hat er es einfach auf dem Punkt gebracht. Beispielsweise gilt der Signal-Messenger von Open Whisper als das Nonplusultra der sicheren Messenger, die Server stehen aber auch in den USA. Willst du jetzt damit sagen dass der Signal-Messenger unsicher ist weil die Server in den USA stehen? Der jeweilige Server-Standort sagt ja nichts aus über die Pflicht der Datenweitergabe an Geheimdienste. Das sind sehr sehr wilde Spekulationen.

              Du sagst ja „…wer seine Daten an Dienste weitergibt!“. Während du auf 99% aller Webseiten surfst, gibst du automatisch bestimmte Daten und dein Surfverhalten über „Google Analytics“ an Google weiter (sofern du es nicht komplett unterbindest).

            • @Mr. Magoo:
              Lieber Magoo, hier geht es nicht um Meinungen, sondern um Fakten/Wissen/Beweise. Du triffst ja gerade wieder die Aussage „die Schweiz“. Wer ist denn „die Schweiz“? Redest du von der Regierung oder von Unternehmen? Und kannst du bitte Beweise liefern, die zeigen dass die dortigen Unternehmen mit der Regierung zusammenarbeiten? Du behauptest einfach Dinge, kannst sie aber nicht beweisen.

              Ich will dich nicht angreifen, aber ich hoffe du bist kein IT’ler, da auch deine „Open Source-Diskussion“ so grundlegend falsch ist und du damit vielen Menschen falsches Wissen vermittelst.

              Wie gesagt, nimm es nicht persönlich, aber ich denke man sollte in der heutigen Zeit mit solchen Anschuldigungen sehr vorsichtig sein, da es genug Leute gibt die Falschmeldungen liefern. In der heutigen Zeit sollte man doch sehr präzise sein.

              • Ich kann dir da nur zustimmen Dennis! Völlig richtig was du schreibst, gerade auch in technischer Hinsicht!

  4. Wenn man manche Kommentare so liest, hat man schon das Gefühl das einige sehr viele Geheimnisse (evtl. auch Illegales??) über WA/Threema und co versenden…die USA und andere Geheimdienste interessiert es sicher brennend was Lieschen-Müller zum Abendessen macht 😉

    • Darum geht es nicht!

      Es geht darum, ob Du es zulässt das ein amerikanischer Konzern (Facebook zudem auch WA gehört) Dich Profilieren kann und damit hier in Europa die gleichen Schäden anrichtet, wie in den USA bereits geschehen.

      Lies Dir mal 20 Min. das hier durch und dann bekommst eine Ahnung, was ich meine:

      https://www.tagesanzeiger.ch/ausland/europa/diese-firma-weiss-was-sie-denken/story/17474918

      Wer also Beatrix von Storch als nächste Bundeskanzlerin verhindern will, der wird jetzt schon aktiv und meidet FB/WA/IG – der Saustall hat nun oft genug bewiesen, das er auf echten Datenschutz pfeift!

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.