Whatsapp - Sicherheitslücke bei Gruppenchats trotz End-to-End-Verschlüsselung

Forscher haben eine Sicherheitslücke in Whatsapp entdeckt, die es Hackern mit Serverzugriff ermöglicht, die Verschlüsselung von Gruppenchats zu umgehen.

von Sara Petzold,
11.01.2018 15:43 Uhr

Whatsapp wirbt mit einer End-to-End-Verschlüsselung, die in Gruppenchats aber ihre Wirkung nicht richtig entfaltet.Whatsapp wirbt mit einer End-to-End-Verschlüsselung, die in Gruppenchats aber ihre Wirkung nicht richtig entfaltet.

Mit der vor zwei Jahren eingeführten End-to-End-Verschlüssellung wollte Whatsapp seinen Nutzern eigentlich ein Gefühl von Sicherheit vermitteln. Insbesondere die Inhalte von Gruppenchats sollten vor externen Zugriffen besonders geschützt sein. Wie sich jetzt herausstellt, erweist sich die Verschlüsselung aber als weniger sicher als zunächst gedacht.

Server-Kontrolle ermöglicht Zugriff auf verschlüsselte Inhalte

Wie Wired berichtet, haben Forscher der Ruhr-Universität Bochum auf der Real World Crypto Sicherheitskonferenz in Zürich eine Sicherheitslücke bei der Whatsapp-Verschlüsselung offengelegt: Dabei genügt offenbar der Zugriff auf die Server von Whatsapp, um Zugriff auf Gruppenchats innerhalb der Nachrichten-App zu erhalten.

Normalerweise obliegt die Kontrolle über einen einzelnen Gruppenchat dem jeweiligen Gruppen-Administrator, der den Zugang zur Gruppe verwaltet. Gelingt es aber einem Hacker, sich Zugriff zu den Whatsapp-Servern zu verschaffen, kann er der Gruppe nach Belieben neue Nutzer zuweisen - und so potentiell die Gruppennachrichten ausspionieren.

Diese Sicherheitslücke ermöglicht laut einem von der Forschergruppe veröffentlichten Aufsatz den Zutritt zur jeweiligen Gruppe ohne das Zutun der eigentlichen Gruppen-Mitglieder sowie die Manipulation einzelner Nachrichten zwischen Sender und Empfänger. Dadurch kann ein Hacker potentiell die Verteilung von Nachrichten an die Gruppenmitglieder steuern.

Abhilfe durch Signatur mit Administrator-Key

Als mögliche Lösung für das Problem schlagen die Forscher vor, dass die Authentizität der Funktionen zum Gruppenmanagement mit der Signatur des Gruppenadministrators verknüpft werden könnte. Außerdem fordern sie eine ausreichende End-to-End-Verschlüsselung der Nachrichten, wie sie bereits bei Einzelnutzern zum Einsatz kommt.

In einer Stellungnahme gegenüber Wired erklärte Whatsapp, dass die Ergebnisse der Forschergruppe korrekt seien. Die Firma wies aber daraufhin, dass es nicht möglich sei, unbemerkt ein neues Gruppenmitglied hinzuzufügen - schließlich erhielten alle Gruppenmitglieder eine entsprechende Benachrichtigung. Whatsapp bezeichnete die Sicherheitslücke sogar als »theoretischen Bug«.

Bis Whatsapp die Sicherheitslücke behebt, sollten Nutzer bei der Übermittlung sensibler Nachrichten vorerst trotzdem wohl besser auf die Nutzung der Whatsapp-Gruppenchats verzichten und ein Auge auf potentiell hinzugefügte neue Gruppenmitglieder werfen.


Kommentare(31)

Nur angemeldete Benutzer können kommentieren und bewerten.