Seit etwa einem Jahr werden sämtliche Chats bei WhatsApp verschlüsselt übertragen. Damit soll verhindert werden, dass Dritte mitlesen können. Doch wie nun bekannt wird, hat eine Sicherheitslücke genau das verhindert. Bereits seit der Einführung der Verschlüsselung hat Facebook die Möglichkeit, in der Theorie jede einzelne Nachricht mitzulesen und für Regierungen offenzulegen. Update am Artikelende
Originalartikel vom 13. Januar 2016: Im April 2016 war der Jubel groß, als WhatsApp endlich die Ende-zu-Ende Verschlüsselung eingeführt hat. Der Messenger setzt hierbei auf ein als extrem sicher geltendes Protokoll – und dennoch hat der Sicherheitsforscher Tobias Boelter von der University of California nun eine Sicherheitslücke offengelegt. Besser gesagt bereits im vergangenen Jahr. Schon im April erkannte Boelter eine Hintertür bei der Verschlüsselung von WhatsApp, welche allerdings nicht das Protokoll betreffe. Das Sicherheitsrisiko liegt direkt bei dem Mutterkonzern von Facebook.
Noch im April 2016 hat der Entdecker die Schwachstelle an Facebook gemeldet. Nach mehreren Wochen kam die Rückmeldung, dass es sich hierbei um ein zu erwartendes Szenario handle, welches allerdings nicht behoben werden solle. Obwohl Boelter bereits einige Male an die Öffentlichkeit getreten ist, erlangt das Verschlüsselungsproblem dank eines Berichts des Guardian erst jetzt die volle Aufmerksamkeit.
Laut Tobias Boelter ist es möglich, die Sicherheitsschlüssel auszutauschen wenn ein Nutzer offline ist. Wenn eine Nachricht noch nicht zugestellt wurde und der Schlüssel geändert wird, wird eine erneute Zustellung ausgelöst. Hacker könnten so zumindest in der Theorie nicht zugestellte Nachrichten umleiten, was zum Glück nicht ganz so einfach ist. Ein größeres Problem stellt dafür WhatsApp selbst dar. Die eigenen Server könnten eine solche Zustellung laut The Guardian manipulieren und durch Austauschen von Schlüsseln jederzeit auslösen. Dadurch wäre der Messenger jederzeit in der Lage, die gesamte Konversation mitzulesen.
Regierungen könnten dadurch ebenfalls Zugriff auf den gesamten Chatverlauf erhalten. Sollte sich WhatsApp kulant zeigen und Regierungsfragen akzeptieren, wäre es für Facebook ein Kinderspiel die Nachrichten für die Regierungen offenzulegen. Auch wenn sich der Konzern quer stellt könnte es für Regierungen noch Wege geben, den Messenger für eine Zwangsfreigabe zu bewegen. An dieser Stelle werden beispielsweise Erinnerungen vom Streit zwischen dem FBI und Apple aus dem vergangenen Jahr wach, welcher noch immer offene Wunden gelassen hat.
WhatsApp hat sich gegenüber Caschys Blog mittlerweile zu den Vorwürfen geäußert. In der Stellungnahme betont der Konzern, dass man unter keinen Umständen mit Regierungen zusammenarbeiten werde. Darüberhinaus seien die Informationen, welche von The Guardian veröffentlicht wurden, nicht korrekt.
Update 14. Januar
Mittlerweile hat sich auch Open Whisper Systems zu den Vorwürfen von The Guardian geäußert. Open Whisper Systems hat das Verschlüsselungsprotokoll entwickelt und steht nun WhatsApp beiseite. Die Entwickler sind entsetzt über die Berichterstattung des Guardian. Der Redakteur habe nicht ausführlich genug recherchiert und Open Whisper Systems nicht einmal um eine Stellungnahme gebeten. Laut den Experten sei es WhatsApp nicht möglich, bereits zugestellte Nachrichten erneut zu versenden.
Lediglich nicht zugestellte Chats könnten mit einem neuen Schlüssel an ein anderes Gerät weitergeleitet werden. Der Sinn dahinter sei allerdings einleuchtend. Schließlich würden nicht zugestellte Nachrichten bei einem Smartphone- oder SIM-Wechsel nie ankommen, wenn es diesen Mechanismus nicht geben würde. Sobald die Nachricht jedoch zugestellt sei, könnten die Server von WhatsApp keine erneute Zustellung anstoßen betont Open Whisper Systems.
Quelle Bild: Denys Prykhodov / Bigstockphoto