Die Sicherheitsfirma Check Point berichtet darüber, dass WhatsApp angreifbar sei. In dem sehr komplexen Beitrag geht man auf die technischen Details ein. Versierte Angreifer könnten nach Übernahme des Netzwerkes als Man-in-the-Middle fungieren, sofern das Opfer via Smartphone mit WhatsApp auf dem Desktop verbunden ist.
Angreifer können so nicht nur Nachrichten abgreifen, sondern auch solche in privaten als auch in Gruppen-Unterhaltungen manipulieren. Die ausgenutzte Schwachstelle sorgt dafür, dass Angreifer Zitate ändern können, sodass es so wirken könnte als hätte die betreffende Person etwas geschrieben, was sie aber nicht hat:
- Use the ‘quote’ feature in a group conversation to change the identity of the sender, even if that person is not a member of the group.
- Alter the text of someone else’s reply, essentially putting words in their mouth.
- Send a private message to another group participant that is disguised as a public message for all, so when the targeted individual responds, it’s visible to everyone in the conversation.
Vor der Veröffentlichung habe man WhatsApp über die Erkenntnisse informiert, da man bei Check Point der Meinung sei, dass es sich um eine schwerwiegende Lücke handelt, die man beachten müsse.
Gegenüber der New York Times hat ein WhatsApp-Sprecher ein Statement abgegeben.
„Wir haben dieses Problem sorgfältig geprüft und es ist das Äquivalent zur Änderung einer E-Mail. Was Check Point entdeckt hat, hat nichts mit der Sicherheit der so genannten End-to-End-Verschlüsselung von WhatsApp zu tun, die sicherstellt, dass nur Sender und Empfänger Nachrichten lesen können“.
WhatsApp räumte ein, dass es für jemanden möglich sei, die Zitatfunktion zu manipulieren, aber das Unternehmen stimmte nicht zu, dass es ein Fehler sei. WhatsApp teilte mit, dass das System so funktioniere, wie es beabsichtigt ist.
Der sicherlich schrägste Satz in dem Statement: Die Kompromisse, eine solche Täuschung zu verhindern, seien zu groß. Jede Nachricht müsse sonst verifiziert werden, was ein enormes Risiko für die Privatsphäre darstellen würde. Nutzer, die die Lücke ausnutzen und gefunden werden, werden von WhatsApp vom Dienst blockiert.