WhatsApp: Hintertür in der Ende-zu-Ende-Verschlüsselung gefunden
13.01.2017 21:41 PBR85

WhatsApp: Hintertür in der Ende-zu-Ende-Verschlüsselung gefunden

Der Messenger WhatsApp hat seit dem letzten Frühling eine Ende-zu-Ende-Verschlüsselung. Doch diese hat auch eine Sicherheitslücke, die wie eine mit Absicht eingebaute Hintertür wirkt. Damit wäre es unter Umständen möglich, dass die Betreiber von WhatsApp oder auch Angreifer die Inhalte der Nachrichten doch mitlesen können.

Letzten Frühling führte WhatsApp das ein, was andere Messenger wie Threema schon lange bieten. Die Rede ist hier von der Ende-zu-Ende-Verschlüsselung, die es Außenstehenden theoretisch unmöglich machen sollte die Inhalte mitzulesen. In der Praxis sieht so etwas aber oft anders aus, da Verschlüsselungen viele Schwachstellen aufweisen können. Diese können wiederum zufällig da sein, weil ein Fehler gemacht wurde, oder auch mit Absicht in Form einer Hintertür.

Genau das könnte auch bei WhatsApp der Fall sein, wie der Kryptographieexperte Tobias Boelter herausgefunden hat, wie The Guardian berichtet. So kann WhatsApp den Schlüssel zwischenzeitlich ändern, wenn der Empfänger beim Absenden gerade offline ist. Dann wird die Nachricht nämlich erneut mit dem neuen Schlüssel verschlüsselt und dann gesendet. Dann ist jedoch der richtige Empfänger nicht mehr sichergestellt und sowohl Facebook als der Besitzer von WhatsApp und auch Angreifer könnten sich hier so theoretisch einklinken und die Inhalte mitlesen.

Der Sender erfährt davon nur im Nachhinein und auch nur dann, wenn diese Warnung aktiviert wurde. Boelter selbst hat diese Lücke dabei schon im letzten Frühling entdeckt und WhatsApp mitgeteilt. Die Betreiber weigerten sich aber bisher es zu beheben. Laut WhatsApp handele es sich hierbei nicht um eine Hintertür, sondern um eine Design-Entscheidung, damit Millionen von Nachrichten nicht verloren gehen. Der Sicherheitsforscher Boelter glaubt dabei selbst auch nicht so wirklich an eine Hintertür, sondern vielmehr an eine "normale" Sicherheitslücke.

Andere Messenger, wie der von Edward Snowden empfohlene Signal-Messenger, der ebenfalls das Open Whisper Protokoll zur Schlüsselerzeugung nutzt, hat diese Schwachstelle nicht. Geht der Empfänger zwischenzeitlich offline und ändert seinen Schlüssel, wird keiner neuer Schlüssel automatisch erzeugt und die Nachricht nochmal zugesendet. Das hat aber auch den erwähnten Nachteil, dass die Nachricht nicht zugestellt wird.


Kommentieren

Noch keine Kommentare
Kommentieren

Weitere News zum Thema

Dropbox ändert Regeln für Free-User: Kostenloser Speicher nur noch für drei Geräte verfügbar

Für Nutzer der kostenlosen Variante des Cloud-Speichers Dropbox gelten ab sofort neue Regeln: Die Dropbox Inc. erlaubt Free-Usern in Zukunft den Datenaustausch nur noch für drei Geräte gleichzeitig.

weiter lesen »
Sony veröffentlicht PS4 Remote Play und ermöglicht Spiele-Streaming auf dem iPhone, iPad & dem iPod touch

Sony hat der PlayStation 4 ein Update der Systemsoftware spendiert. Die im gleichen Zug veröffentlichte App PS4 Remote Play für iOS erlaubt es Spielern erstmals, PS4-Games in Echtzeit auf das iPhone, iPad und den iPod touch zu streamen.

weiter lesen »
Spectre Camera ermöglicht Langzeitbelichtung am iPhone, iPad & iPod touch

Die Entwickler der Foto-App Halide haben ihre neue App Spectre Camera im App Store veröffentlicht. Spectre Camera ermöglicht auf dem iPhone, iPad oder iPod touch Langzeitbelichtung bei Tag und Nacht.

weiter lesen »