Extrem schwerwiegende Vorwürfe: Geheime Hintertür in WhatsApp entdeckt
Ein Sicherheitsforscher hat eine Hintertür in WhatsApp gefunden, die es Facebook erlaubt, alle von Nutzern versendeten Nachrichten zu lesen - entgegen der Behauptung Facebooks, dass genau das unmöglich sei. Die Verschlüsselung von WhatsApp wäre damit plötzlich nichts mehr wert.
Seit Ende 2014 verschlüsselt WhatsApp Nachrichten, die über den Messenger versendet werden, seit April 2016 gilt das für alle Inhalte. Das Unternehmen betont seitdem stets, auch selbst nicht in der Lage zu sein, die Nachrichten seiner Nutzer zu lesen.
Ein Sicherheitsforscher der Berkeley-Universität, Tobias Boelter, widerspricht dieser Darstellung jetzt. Wie der Guardian berichtet, hat Boelter einen Weg gefunden, der es WhatsApp sehr wohl erlaubt, die verschlüsselten Nachrichten zu entschlüsseln, ohne dass Nutzer davon etwas mitbekommen. Es handelt sich demnach um eine klassische Backdoor, die es dem Betreiber eines Dienstes erlaubt, eigene Sicherheitsmechanismen auszuhebeln.
Auch gegenüber Geheimdiensten und Polizeibehörden müssten WhatsApp beziehungsweise Facebook persönliche Daten von Nutzern preisgeben, wenn sie darauf Zugriff haben.
So funktioniert die WhatsApp-Hintertür
Die Verschlüsselung von WhatsApp beruht auf zwei Schlüsseln: Einen kennt nur der Empfänger einer Nachricht, mit ihm werden eingehende Nachrichten entschlüsselt. Der Sender ist im Besitz eines zugehörigen zweiten Schlüssels, der öffentlich bekannt ist - er wird für die Verschlüsselung der Nachricht genutzt.
Nun kann es allerdings vorkommen, dass auf der Seite des Empfängers ein neuer privater Schlüssel generiert wird, während der Nutzer offline ist - dieser Vorgang kann von WhatsApp angestoßen werden, ohne dass Nutzer davon etwas mitbekommen. Ist das der Fall, müssen bis dato unzustellbare Nachrichten vom Versender erneut verschlüsselt und ein weiteres Mal versandt werden.
Im Laufe dieses Prozesses kann WhatsApp in den Besitz des privaten Schlüssels kommen, so der Bericht des Guardian. Alle weiteren Nachrichten kann das Unternehmen dann mitlesen.
Facebook kennt das Problem - und handelt nicht
Boelter habe das Sicherheitsproblem bereits im April 2016 an Facebook gemeldet. Die Reaktion: Es handle sich um das "erwartete Verhalten", sprich: Facebook sieht keinen Grund zu handeln. Dass die Verschlüsselung umgangen werden kann, scheint demnach Absicht zu sein. Auch in der aktuellen Version konnte der Guardian das Problem feststellen.
Auch wenn der Angriff generell eher zum Abfangen einzelner Nchrichten taugt, ist es laut Boelter auch ohne große Schwierigkeiten möglich, vollständige Unterhaltungen abzuhören.
In einer Stellungnahme gegenüber dem Guardian verweist WhatsApp auf die Einstellung "Sicherheits-Benachrichtigungen anzeigen", die in den Einstellungen aktiviert werden kann. Sie ist auch standardmäßig aktiv. Die Einstellung bewirkt, dass Nutzer im Chat eine Nachricht erhalten, wenn sich der Sicherheitsschlüssel des Empfängers ändert.
In der Regel erscheint dieser Hinweis laut WhatsApp dann, wenn Nutzer ihr Telefon wechseln oder WhatsApp neu installieren.
Sicherheitslücke von WhatsApp eingebaut
Die Verschlüsselung von WhatsApp basiert auf dem Protokoll von Open Whisper Systems, das für den Messenger Signal entwickelt wurde. In ihm findet sich die Lücke nicht, Nachrichten lassen sich dort also nicht entschlüsseln. WhatsApp hat das Protokoll demnach eigenständig erweitert und die Verschlüsselung dabei wertlos gemacht.
Unklar ist bislang, ob das in böser Absicht geschehen ist oder - so die offizielle Begründung WhatsApps -, um das Produkt möglichst einfach bedienbar zu machen.
Quelle: chip
Ein Sicherheitsforscher hat eine Hintertür in WhatsApp gefunden, die es Facebook erlaubt, alle von Nutzern versendeten Nachrichten zu lesen - entgegen der Behauptung Facebooks, dass genau das unmöglich sei. Die Verschlüsselung von WhatsApp wäre damit plötzlich nichts mehr wert.
Seit Ende 2014 verschlüsselt WhatsApp Nachrichten, die über den Messenger versendet werden, seit April 2016 gilt das für alle Inhalte. Das Unternehmen betont seitdem stets, auch selbst nicht in der Lage zu sein, die Nachrichten seiner Nutzer zu lesen.
Ein Sicherheitsforscher der Berkeley-Universität, Tobias Boelter, widerspricht dieser Darstellung jetzt. Wie der Guardian berichtet, hat Boelter einen Weg gefunden, der es WhatsApp sehr wohl erlaubt, die verschlüsselten Nachrichten zu entschlüsseln, ohne dass Nutzer davon etwas mitbekommen. Es handelt sich demnach um eine klassische Backdoor, die es dem Betreiber eines Dienstes erlaubt, eigene Sicherheitsmechanismen auszuhebeln.
Auch gegenüber Geheimdiensten und Polizeibehörden müssten WhatsApp beziehungsweise Facebook persönliche Daten von Nutzern preisgeben, wenn sie darauf Zugriff haben.
So funktioniert die WhatsApp-Hintertür
Die Verschlüsselung von WhatsApp beruht auf zwei Schlüsseln: Einen kennt nur der Empfänger einer Nachricht, mit ihm werden eingehende Nachrichten entschlüsselt. Der Sender ist im Besitz eines zugehörigen zweiten Schlüssels, der öffentlich bekannt ist - er wird für die Verschlüsselung der Nachricht genutzt.
Nun kann es allerdings vorkommen, dass auf der Seite des Empfängers ein neuer privater Schlüssel generiert wird, während der Nutzer offline ist - dieser Vorgang kann von WhatsApp angestoßen werden, ohne dass Nutzer davon etwas mitbekommen. Ist das der Fall, müssen bis dato unzustellbare Nachrichten vom Versender erneut verschlüsselt und ein weiteres Mal versandt werden.
Im Laufe dieses Prozesses kann WhatsApp in den Besitz des privaten Schlüssels kommen, so der Bericht des Guardian. Alle weiteren Nachrichten kann das Unternehmen dann mitlesen.
Facebook kennt das Problem - und handelt nicht
Boelter habe das Sicherheitsproblem bereits im April 2016 an Facebook gemeldet. Die Reaktion: Es handle sich um das "erwartete Verhalten", sprich: Facebook sieht keinen Grund zu handeln. Dass die Verschlüsselung umgangen werden kann, scheint demnach Absicht zu sein. Auch in der aktuellen Version konnte der Guardian das Problem feststellen.
Auch wenn der Angriff generell eher zum Abfangen einzelner Nchrichten taugt, ist es laut Boelter auch ohne große Schwierigkeiten möglich, vollständige Unterhaltungen abzuhören.
In einer Stellungnahme gegenüber dem Guardian verweist WhatsApp auf die Einstellung "Sicherheits-Benachrichtigungen anzeigen", die in den Einstellungen aktiviert werden kann. Sie ist auch standardmäßig aktiv. Die Einstellung bewirkt, dass Nutzer im Chat eine Nachricht erhalten, wenn sich der Sicherheitsschlüssel des Empfängers ändert.
In der Regel erscheint dieser Hinweis laut WhatsApp dann, wenn Nutzer ihr Telefon wechseln oder WhatsApp neu installieren.
Sicherheitslücke von WhatsApp eingebaut
Die Verschlüsselung von WhatsApp basiert auf dem Protokoll von Open Whisper Systems, das für den Messenger Signal entwickelt wurde. In ihm findet sich die Lücke nicht, Nachrichten lassen sich dort also nicht entschlüsseln. WhatsApp hat das Protokoll demnach eigenständig erweitert und die Verschlüsselung dabei wertlos gemacht.
Unklar ist bislang, ob das in böser Absicht geschehen ist oder - so die offizielle Begründung WhatsApps -, um das Produkt möglichst einfach bedienbar zu machen.
Quelle: chip
