Bild: Shutterstock
Ein Hacker hat eine gravierende Sicherheitslücke aufgedeckt, die es Facebook und anderen Dritten erlaubt, Ende-zu-Ende-verschlüsselte WhatsApp-Nachrichten mitzulesen und abzufangen.Wie der britische Guardian berichtet, wurde die Lücke bereits vor neun Monaten von Sicherheitsforscher Tobias Boelter (UC Berkeley) entdeckt und an Facebook gemeldet. Geschlossen wurde die Lücke bis heute nicht, wie der Guardian nun herausgefunden hat. Damit sind potentiell viele Milliarden von Nachrichten in Gefahr, die die über eine Milliarde Nutzer über den Chat-Dienst WhatsApp tagtäglich verschicken. Als WhatsApp die als unknackbar geltende Ende-zu-Ende-Verschlüsselung im April 2016 einführte, wurde das von Experten in aller Welt zu Recht als großer Schritt gefeiert.WhatsApp verlässt sich für seine Ende-zu-Ende-Verschlüsselung auf ein Protokoll, das von Open Whisper Systems entwickelt wurde und auch im Messenger Signal zum Einsatz kommt. Das Protokoll selbst ist allerdings nicht von der Sicherheitslücke betroffen, Signal gilt somit weiterhin als sicherer Messenger.Die Crux liegt vielmehr in der schlampigen Implementierung des Protokolls von WhatsApp selbst, die es theoretisch nicht nur Facebook, sondern auch anderen erlaubt, die Nachrichten der Nutzer abzufangen.Denn WhatsApp kann ohne das Wissen von Absender und Empfänger neue Schlüssel generieren, die zum Austausch von Nachrichten dienen. Nachrichten, die beim ersten Mal nicht zugestellt wurden, werden dann ein zweites Mal mit neuem Schlüssel verschickt, ohne dass der Absender etwas davon bemerkt. An dieser Stelle können sie von Dritten abgefangen und mitgelesen werden. Mit Hilfe dieses neuen Schlüssel können Unbefugte die Nachrichten lesen, die für sie eigentlich unlesbar verschlüsselt sind.Alle Nutzer sollten in jedem Fall die Option „Sicherheits-Benachrichtigungen anzeigen" in ihren WhatsApp-Einstellungen einschalten. Diese Option ist standardmäßig nicht aktiviert. Nur dann bekommt ein Nutzer als Empfänger einer Nachricht eine Warnung angezeigt, wenn eine Nachricht zweimal mit zwei unterschiedlichen Schlüsseln versendet wurde oder sich „die Sicherheitsnummer eines Kontakts ändert".
Doch hinter dem nun aufgetauchten Problem steckt eine generelle Schwäche verschlüsselter Nachrichten-Apps: Wer sich wirklich ganz sicher sein will, auch wirklich nur mit seinem gewünschten Gesprächspartner zu kommunizieren, der muss die Möglichkeit haben, die benutzten kryptografischen Schlüssel mit seinem Kontakt abzugleichen, wie der Sicherheitsforscher Frederic Jacobs in einem Tweet herausstellt:
Anzeige
Anzeige
Signal schickt auch ohne Zutun des Nutzers eine Warnung heraus, sobald sich der Sicherheitsschlüssel eines Kontakts geändert hat, und fordert die Gesprächspartner auf, die Schlüssel manuell abzugleichen. WhatsApp enthält seinen Nutzern diese Option vor, indem es Absender nicht über eine solche Änderung informiert—ob das mit einer gewissen Absicht geschieht oder nicht, ist nicht klar.Der Mutterkonzern Facebook kommuniziert nur eine sehr vage Übersicht über die Fälle, in denen „manche Daten" an Regierungen oder Ermittler weitergegeben wurden. Auch wegen dieser mangelnden Transparenz kritisieren Privatsphäreaktivisten und Sicherheitsforscher das Unternehmen scharf.Unklar ist weiterhin, warum Facebook die Lücke so lange nicht geschlossen hat. Man habe das Problem auf dem Schirm, teilte Facebook dem Kryptografie-Experten mit als dieser sich im April 2016 an Facebook wandte; das Verhalten sei jedoch „so vorgesehen" (Original: 'expected behaviour') und werde nicht aktiv repariert.Tobias Boelter, der momentan an der University of Berkeley in Kalifornien arbeitet, haben wir per E-Mail um ein Statement gebeten und werden den Artikel entsprechend updaten, sobald er sich äußert.Die Nachricht über die Sicherheitslücke kommt nur fünf Monate, nachdem WhatsApp wegen eines anderen Datenschutzproblems scharf kritisiert wurde. Damals wurde bekannt, dass WhatsApp die Telefonnummern seiner Nutzer an Facebook weitergibt—selbst, wenn man dieser stillen Änderung der Geschäftsbedingungen widerspricht.Nachdem Facebook den Chat-Dienst für 19 Milliarden Dollar kaufte, hatte WhatsApp beteuert, niemals die eigenen Privatsphäre-Standards und Datenschutzrichtlinien anzutasten—und mit der Einführung der Ende-zu-Ende-Verschlüsselung im April 2016 sah es auch zunächst aus, als würde die Firma ihr Versprechen auch einlösen.Doch der Fall zeigt: Eine Ende-zu-Ende Verschlüsselung ist schön und gut—aber nur, wenn dahinter auch ein Unternehmen steht, das darauf achtet, diese gründlich und effektiv zu implementieren, um die Privatsphäre seiner Nutzer vor dem Zugriff Dritter zu schützen.It's ridiculous that this is presented as a backdoor. If you don't verify keys, authenticity of keys is not guaranteed. Well known fact.
— Frederic Jacobs (@FredericJacobs) January 13, 2017