WhatsApp: Hintertür in der Ende-zu-Ende-Verschlüsselung gefunden
Der Messenger WhatsApp hat seit dem letzten Frühling eine Ende-zu-Ende-Verschlüsselung. Doch diese hat auch eine Sicherheitslücke, die wie eine mit Absicht eingebaute Hintertür wirkt. Damit wäre es unter Umständen möglich, dass die Betreiber von WhatsApp oder auch Angreifer die Inhalte der Nachrichten doch mitlesen können.
Letzten Frühling führte WhatsApp das ein, was andere Messenger wie Threema schon lange bieten. Die Rede ist hier von der Ende-zu-Ende-Verschlüsselung, die es Außenstehenden theoretisch unmöglich machen sollte die Inhalte mitzulesen. In der Praxis sieht so etwas aber oft anders aus, da Verschlüsselungen viele Schwachstellen aufweisen können. Diese können wiederum zufällig da sein, weil ein Fehler gemacht wurde, oder auch mit Absicht in Form einer Hintertür.
Genau das könnte auch bei WhatsApp der Fall sein, wie der Kryptographieexperte Tobias Boelter herausgefunden hat, wie The Guardian berichtet. So kann WhatsApp den Schlüssel zwischenzeitlich ändern, wenn der Empfänger beim Absenden gerade offline ist. Dann wird die Nachricht nämlich erneut mit dem neuen Schlüssel verschlüsselt und dann gesendet. Dann ist jedoch der richtige Empfänger nicht mehr sichergestellt und sowohl Facebook als der Besitzer von WhatsApp und auch Angreifer könnten sich hier so theoretisch einklinken und die Inhalte mitlesen.
Der Sender erfährt davon nur im Nachhinein und auch nur dann, wenn diese Warnung aktiviert wurde. Boelter selbst hat diese Lücke dabei schon im letzten Frühling entdeckt und WhatsApp mitgeteilt. Die Betreiber weigerten sich aber bisher es zu beheben. Laut WhatsApp handele es sich hierbei nicht um eine Hintertür, sondern um eine Design-Entscheidung, damit Millionen von Nachrichten nicht verloren gehen. Der Sicherheitsforscher Boelter glaubt dabei selbst auch nicht so wirklich an eine Hintertür, sondern vielmehr an eine "normale" Sicherheitslücke.
Andere Messenger, wie der von Edward Snowden empfohlene Signal-Messenger, der ebenfalls das Open Whisper Protokoll zur Schlüsselerzeugung nutzt, hat diese Schwachstelle nicht. Geht der Empfänger zwischenzeitlich offline und ändert seinen Schlüssel, wird keiner neuer Schlüssel automatisch erzeugt und die Nachricht nochmal zugesendet. Das hat aber auch den erwähnten Nachteil, dass die Nachricht nicht zugestellt wird.
Bisher keine Kommentare