Whatsapp & Verschlüsselung - Aufregung um angebliche Backdoor zum Mitlesen

Laut dem Sicherheitsforscher Tobias Boelter gibt es in Whatsapp eine Sicherheitslücke, die das Unternehmen zum Mitlesen eigentlich verschlüsselter Nachrichten nutzen könnte.

von Georg Wieselsberger,
14.01.2017 11:16 Uhr

Whatsapp könnte laut einem Sicherheitsforscher verschlüsselte Nachrichten mitlesen.Whatsapp könnte laut einem Sicherheitsforscher verschlüsselte Nachrichten mitlesen.

Der Sicherheitsforscher Tobias Boelter von der University of California hatte Whatsapp beziehungsweise Facebook schon im April 2016 über eine Sicherheitslücke informiert, die dem Unternehmen theoretisch das Mitlesen von eigentlich Ende-zu-Ende-verschlüsselten Nachrichten ermöglichen könnte. Doch Facebook wollte laut Boelter das Problem nicht beheben, obwohl der Experte die Sicherheitslücke sogar schon in seinem Blog beschrieben hatte.

Schlüsselaustausch, wenn der Nutzer offline ist

Wenn ein Nutzer offline ist, könnte Whatsapp einen Austausch der Schlüssel erzwingen. Neu gesendete Nachrichten an diesen Nutzer könnten denn unter Umständen diese neuen Schlüssel verwenden, ohne dass dies bemerkt wird. Theoretisch könnte Whatsapp sogar alle vorhandenen Nachrichten auf einem Smartphone dann mit den neuen Schlüsseln erneut versenden und damit mitlesen.

Eigentlich nutzt Whatsapp das als sehr sicher geltende Signal-Protokoll, doch im Gegensatz zu den Standardeinstellungen von Signal sendet Whatsapp ausgerechnet beim Austausch der Schlüssel ohne Änderung in den Einstellungen keine Warnmeldung und auch nach Aktivierung erst, wenn der neue Schlüssel bereits verwendet wurde.

Whatsapp bestreitet eine Backdoor für Regierungen

Auch wenn Whatsapp die Möglichkeit zum Mitlesen gar nicht nutzen will, könnte das Unternehmen laut den Befürchtungen von Bürgerrechtlern in vielen Ländern im Geheimen dazu gezwungen werden, über die beschriebene Methode die Schlüssel von Nutzern auszutauschen, ohne diese informieren zu dürfen. Gegenüber Golem hat Whatsapp eine Stellungnahme abgegeben und darin von einer »Design-Entscheidung« gesprochen, die dafür sorgt, dass »Millionen Nachrichten nicht verloren gehen«.

Die Behauptung, das sei eine Hintertür, über die Whatsapp gezwungen werden könne, Nachrichtenströme zu entschlüsseln, sei falsch. » Whatsapp gibt Regierungen keine Hintertür in seine Systeme und würde jede Anfrage danach bekämpfen.« Ob das ein ausreichendes Dementi ist, müssen Whatsapp-Nutzer natürlich selbst beurteilen.

Signal-Entwickler verteidigen Whatsapp

Allerdings gibt es für die Aussage von Whatsapp klare Unterstützung von Whispersystems, den Entwicklern des Signal-Protokolls. Es handle sich nicht um eine Backdoor, sondern schlicht um eine übliche Funktionsweise von Verschlüsselung.

Whispersystems bietet selbst mit Signal einen Messenger an, auf den laut Berichten nun einige Nutzer nach der Meldung der britischen Zeitung The Guardian über die vermeintliche Backdoor wechseln wollen oder schon gewechselt sind. Whispersystems hätte keinen Grund, Whatsapp zu verteidigen und sollte darüber hinaus auch das eigene Protokoll besser beurteilen können als andere.

Quelle: The Guardian, Golem, Whispersystems


Kommentare(31)

Nur angemeldete Benutzer können kommentieren und bewerten.