Mit der vor zwei Jahren eingeführten End-to-End-Verschlüssellung wollte Whatsapp seinen Nutzern eigentlich ein Gefühl von Sicherheit vermitteln. Insbesondere die Inhalte von Gruppenchats sollten vor externen Zugriffen besonders geschützt sein. Wie sich jetzt herausstellt, erweist sich die Verschlüsselung aber als weniger sicher als zunächst gedacht.
Server-Kontrolle ermöglicht Zugriff auf verschlüsselte Inhalte
Wie Wired berichtet, haben Forscher der Ruhr-Universität Bochum auf der Real World Crypto Sicherheitskonferenz in Zürich eine Sicherheitslücke bei der Whatsapp-Verschlüsselung offengelegt: Dabei genügt offenbar der Zugriff auf die Server von Whatsapp, um Zugriff auf Gruppenchats innerhalb der Nachrichten-App zu erhalten.
Normalerweise obliegt die Kontrolle über einen einzelnen Gruppenchat dem jeweiligen Gruppen-Administrator, der den Zugang zur Gruppe verwaltet. Gelingt es aber einem Hacker, sich Zugriff zu den Whatsapp-Servern zu verschaffen, kann er der Gruppe nach Belieben neue Nutzer zuweisen - und so potentiell die Gruppennachrichten ausspionieren.
Diese Sicherheitslücke ermöglicht laut einem von der Forschergruppe veröffentlichten Aufsatz den Zutritt zur jeweiligen Gruppe ohne das Zutun der eigentlichen Gruppen-Mitglieder sowie die Manipulation einzelner Nachrichten zwischen Sender und Empfänger. Dadurch kann ein Hacker potentiell die Verteilung von Nachrichten an die Gruppenmitglieder steuern.
Abhilfe durch Signatur mit Administrator-Key
Als mögliche Lösung für das Problem schlagen die Forscher vor, dass die Authentizität der Funktionen zum Gruppenmanagement mit der Signatur des Gruppenadministrators verknüpft werden könnte. Außerdem fordern sie eine ausreichende End-to-End-Verschlüsselung der Nachrichten, wie sie bereits bei Einzelnutzern zum Einsatz kommt.
In einer Stellungnahme gegenüber Wired erklärte Whatsapp, dass die Ergebnisse der Forschergruppe korrekt seien. Die Firma wies aber daraufhin, dass es nicht möglich sei, unbemerkt ein neues Gruppenmitglied hinzuzufügen - schließlich erhielten alle Gruppenmitglieder eine entsprechende Benachrichtigung. Whatsapp bezeichnete die Sicherheitslücke sogar als »theoretischen Bug«.
Bis Whatsapp die Sicherheitslücke behebt, sollten Nutzer bei der Übermittlung sensibler Nachrichten vorerst trotzdem wohl besser auf die Nutzung der Whatsapp-Gruppenchats verzichten und ein Auge auf potentiell hinzugefügte neue Gruppenmitglieder werfen.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.