Der Sicherheitsforscher Tobias Boelter von der University of California hatte Whatsapp beziehungsweise Facebook schon im April 2016 über eine Sicherheitslücke informiert, die dem Unternehmen theoretisch das Mitlesen von eigentlich Ende-zu-Ende-verschlüsselten Nachrichten ermöglichen könnte. Doch Facebook wollte laut Boelter das Problem nicht beheben, obwohl der Experte die Sicherheitslücke sogar schon in seinem Blog beschrieben hatte.
Schlüsselaustausch, wenn der Nutzer offline ist
Wenn ein Nutzer offline ist, könnte Whatsapp einen Austausch der Schlüssel erzwingen. Neu gesendete Nachrichten an diesen Nutzer könnten denn unter Umständen diese neuen Schlüssel verwenden, ohne dass dies bemerkt wird. Theoretisch könnte Whatsapp sogar alle vorhandenen Nachrichten auf einem Smartphone dann mit den neuen Schlüsseln erneut versenden und damit mitlesen.
Eigentlich nutzt Whatsapp das als sehr sicher geltende Signal-Protokoll, doch im Gegensatz zu den Standardeinstellungen von Signal sendet Whatsapp ausgerechnet beim Austausch der Schlüssel ohne Änderung in den Einstellungen keine Warnmeldung und auch nach Aktivierung erst, wenn der neue Schlüssel bereits verwendet wurde.
Whatsapp bestreitet eine Backdoor für Regierungen
Auch wenn Whatsapp die Möglichkeit zum Mitlesen gar nicht nutzen will, könnte das Unternehmen laut den Befürchtungen von Bürgerrechtlern in vielen Ländern im Geheimen dazu gezwungen werden, über die beschriebene Methode die Schlüssel von Nutzern auszutauschen, ohne diese informieren zu dürfen. Gegenüber Golem hat Whatsapp eine Stellungnahme abgegeben und darin von einer »Design-Entscheidung« gesprochen, die dafür sorgt, dass »Millionen Nachrichten nicht verloren gehen«.
Die Behauptung, das sei eine Hintertür, über die Whatsapp gezwungen werden könne, Nachrichtenströme zu entschlüsseln, sei falsch. » Whatsapp gibt Regierungen keine Hintertür in seine Systeme und würde jede Anfrage danach bekämpfen.« Ob das ein ausreichendes Dementi ist, müssen Whatsapp-Nutzer natürlich selbst beurteilen.
Signal-Entwickler verteidigen Whatsapp
Allerdings gibt es für die Aussage von Whatsapp klare Unterstützung von Whispersystems, den Entwicklern des Signal-Protokolls. Es handle sich nicht um eine Backdoor, sondern schlicht um eine übliche Funktionsweise von Verschlüsselung.
Whispersystems bietet selbst mit Signal einen Messenger an, auf den laut Berichten nun einige Nutzer nach der Meldung der britischen Zeitung The Guardian über die vermeintliche Backdoor wechseln wollen oder schon gewechselt sind. Whispersystems hätte keinen Grund, Whatsapp zu verteidigen und sollte darüber hinaus auch das eigene Protokoll besser beurteilen können als andere.
Quelle: The Guardian, Golem, Whispersystems
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.