WhatsApp wirbt ja mit einer Ende-zu-Ende-Verschlüsselung der Kommunikation im Messenger. Soll abhörsicher sind, auch für den Betreiber. In der Implementierung gibt es aber eine Schwachstelle, die diesbezüglich Fragen aufwirft. Hier ein paar Informationen zusammen getragen.
Anzeige
Eines muss mal WhatsApp ja lassen: Pressearbeit brauchen die kaum mehr zu machen – der Dienst ist ständig in aller Munde – wenn auch eher mit Negativ-Schlagzeilen. Seit das Unternehmen, welches ja von Facebook gekauft wurde, die Datenübernahme durch Facebook bekannt gab, reißen die Negativschlagzeilen nicht ab. Die letzte Nachricht vor Weihnachten 2016 war, dass die EU-Kommission von Facebook/WhatsApp eine Erklärung bzg. der Datenübernahme fordert – denn die Zusicherung, keine WhatsApp-Daten zu übernehmen, war die Basis für die Übernahmezustimmung durch die EU.
Closed source –Verschlüsselung ist nicht vertrauenswürdig
Da war es gut zu wissen, dass die WhatsApp-Kommunikation durch die Ende-zu-Ende-Verschlüsselung wenigstens abhörsicher (auch für den Betreiber selbst) sei. Die Politik hat zwar medienwirksam öffentlich Klage geführt, dass Kriminelle und Terroristen das für ihre zwielichtigen Zwecke nutzen könnten, ohne dass Überwacher das mitbekämen. Ähnlich wie bei dem Streit zwischen Apple und dem FBI wegen des verschlüsselten iPhone, scheint das möglicherweise nur Säbelrasseln gewesen zu sein. Beim Apple/FBI-Fall wurde das Gerät mittels Hinweisen von Hackern geknackt.
WhatsApp – Kommunikation ist nicht vertrauenswürdig
Zurück zu WhatsApp und der abhörsicheren Ende-zu-Ende-Verschlüsselung. Die Story ging Ende der Woche breit durchs Internet. Seit Monaten ist eine Lücke in dieser WhatsApp Ende-zu-Ende-Verschlüsselung bekannt, die das Mithören von Nachrichten ermöglicht. Sicherheitsforscher Tobias Boelter von der University of California hatte den verantwortlichen Mechanismus nach eigenen Angaben schon im April 2016 an Facebook gemeldet und auf seinem Blog öffentlich gemacht.
Der WhatsApp-Messenger ermöglicht für nicht zugestellte Nachrichten neue Schlüssel für Sender und Empfänger zu generieren. Nutzer bekommen davon in den Standardeinstellungen der App nichts mit. Damit kann der WhatsApp-Server ganze Whats-App-Unterhaltungen neu anfordern und über einen eigenen Schlüssel mitlesen. heise.de berichtete hier darüber und legt auch Details offen. Laut diesem heise.de-Artikel hat Boelter Facebook im April 2016 auf das Problem aufmerksam gemacht und im Mai 2016 die Antwort erhalten, dass dies bekannt sei und nicht geändert würde. Das "riecht" nach einer Backdoor.
Anzeige
Das Thema kocht hoch und ein WhatsApp-Dementi
Nachdem Boelter das Thema auf dem Chaos Computer Congress 33C3 in Hamburg präsentierte, berichtete The Guardian darüber und die Geschichte wurde die Tage in den Medien hochgespült. Nun hat WhatsApp gegenüber heise.de und anderen Medien reagiert und der Darstellung des Guardian, dass das alles eine geplante Hintertür sei, und man eine Schnittstelle für Überwachungsbehörden bereitstelle, widersprochen. Im Guadian-Artikel gibt es eine Ergänzung, die diese WhatsApp-Position wiedergibt. Und hier findet sich ein "flammender" Artikel, der den Beitrag im Guardian als nicht akkurat zerreißt – wobei er nicht wirklich auf Boelters technische Inhalte eingeht. Boelter geht in einem neuen Blog-Beitrag ebenfalls auf diese Frage ein. Laut WhatsApp ist es kein Bug, sondern ein Feature. Weitere Details könnt ihr dem deutschsprachigen heise.de-Artikel oder den verlinkten Blog-Beiträgen von Boelter entnehmen, die zwischenzeitlich aktualisiert wurden. (via)
Ergänzung: Zwischenzeitlich gibt es harsche Kritik von Sicherheitsforschern am The Guardian-Artikel, dass dieser irreführend sei. Details hier.
Ähnliche Artikel:
Facebooks WhatsApp-Datentransfer bringt auch in UK Ärger
Untersuchung gegen Facebook/WhatsApp in Italien
EU-Datenschützer untersagen Facebook WhatsApp-Benutzerdaten auszuwerten
Facebook klagt gegen Verbot der WhatsApp-Datenweitergabe
Abmahnung gegen WhatsApp wegen Datenaustausch mit Facebook
Bald 'Facebook-Werbung' auf WhatsApp
Facebook stoppt WhatsApp-Datentransfer in der EU
Anzeige
Selbst wenn WhatsApp völlig sicher wäre hat es sich mittlerweile einfach den Ruf verspielt bei allen die auf Sicherheit setzen. Da solche Chat-Apps auch immer mehr für Firmenkommunikation interessant werden tut sich hier natürlich eine interessante Marktlücke auf, die keiner der großen Player bedienen kann und Chancen für kleinere Newcomer bietet (siehe etwa hier). Denn wer würde die Firmenkommunikation schon über eine App von Facebook oder Google laufen lassen. Nicht einmal Microsoft würde ich noch trauen. Hier können interessante neue Firmen entstehen, die man auch als Investition im Auge behalten sollte…