Bericht über Sicherheitsproblem: Experten stellen sich auf die Seite von WhatsApp

MobileMobile Apps

Die britische Zeitung The Guardian hatte unter Berufung auf Tobias Boelter, Experte für Kryptologie an der Berkeley-Universität, berichtet, dass die Ende-zu-Ende-Verschlüsselung bei WhatsApp mangelhaft implementiert und dadurch angreifbar sei. Das Unternehmen hatte die Vorwürfe bereits zurückgewiesen. Jetzt bekommt es Unterstützung von Mitarbeiter von Google, Intel Security, Mozilla und Cloudflare.

Sicherheitsforscher und Kryptografieexperten haben in einem offenen Brief die britische Zeitung The Guardian kritisiert und sich auf die Seite von WhatsApp gestellt. Auslöser für die Kritik ist ein Bericht des Blattes, wonach die Verschlüsselung in WhatsApp falsch implementiert sein soll. Die Zeitung zitierte darin Tobias Boelter, Experte für Kryptologie an der Berkeley-Universität in Kalifornien. In dem offenen Brief wird ihr nun vorgeworfen vor, dessen Aussagen nicht durch andere Experten überprüft zu haben.

Den offenen Brief haben unter anderem Matthew Green, Professor für Kryptografie an der Johns Hopkins University, Jonathan Zdziarski, Bruce Schneier und Isis Lovecruft, Chefentwicklerin des Anonymisierungsnetzwerks The Onion Router (Tor), unterzeichnet. Aber auch Mitarbeiter von Google, Intel Security, der Electronic Frontier Foundation, Mozilla, Cloudflare und des Open Crypto Audit Project gehören zu den Unterzeichnern. WhatsApp und Open Whisper Systems, auf dessen Code die Verschlüsslung bei WhatsApp basiert, hatten die Vorwürfe bereits zuvor zurückgewiesen.

Sofern die entsprechende Einstellung aktiviert ist, werden Nutzer bei WhatsApp auf die kritisierte Schlüsseländerung hingewiesen. (Screenshot: Open Whisper Systems)
Sofern die entsprechende Einstellung aktiviert ist, werden Nutzer bei WhatsApp auf die kritisierte Schlüsseländerung hingewiesen. (Screenshot: Open Whisper Systems)

Anlass der Kritik durch The Guardian war die Verarbeitung von offline erstellten WhatsApp-Nachrichten, die nicht sofort verschickt werden. Für sie wird ein neuer Verschlüsselungsschlüssel erstellt und mit dem Empfänger ausgetauscht. Da dem Empfänger der Austausch des Schlüssels nicht bekannt sei und der Sender standardmäßig nicht über den Schlüsselaustausch informiert werde, kann laut Guardian WhatsApp so die Kommunikation seiner Nutzer abfangen und mitlesen und könnte diese Möglichkeit auch Dritten eröffnen.

In ihrem offenen Brief weisen die Experten diese Möglichkeit nicht völlig von der Hand. Sie erklären aber, dass “sicherheitsbewusste Nutzer” einen derartigen Missbrauch schnell erkennen können. Schließlich sei es möglich, Sicherheitswarnungen für den nachträglichen Schlüsseltausch zu aktivieren. Außerdem müsse ein Dritter, um diese Möglichkeit nutzen zu können, uneingeschränkten Zugang zum Smartphone eines Nutzers oder zu WhatsApps Servern haben.

Verfasserin des Briefs ist die türkische Journalistin Zeynep Tufekci. The Guardian erklärte gegenüber Motherboard, man habe inzwischen in der Überschrift des Artikels das Wort “Hintertür” durch “Schwachstelle” ersetzt. “Zeynep Tufekcis offener Brief ist uns bekannt und wir haben ihr angeboten, eine Antwort zu unserem Bericht zu schreiben. Das Angebot besteht weiterhin und wir begrüßen eine weitere Debatte”, so das Blatt weiter.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Moxie Marlinspike, Chef von Open Whisper Systems, dem Entwickler des verschlüsselten Messengers Signal, dessen Verschlüsselungsprotokoll auch WhatsApp nutzt, hatte bereits erklärt, WhatsApp sei zwar theoretisch in der Lage, als “Man in the Middle” aufzutreten. Das sei aber bei jedem Kommunikationssystem möglich. WhatsApp-Nutzer könnten aber eine Schlüsselprüfung aktivieren, die einen Man-in-the-Middle-Angriff aufdeckt. Da WhatsApp wiederum nicht bekannt sei, ob Nutzer diese Einstellung aktiviert haben, laufe das Unternehmen Gefahr, von seinen Nutzern ertappt zu werden. Sinngemäß räumte Marlinspike zwar ein, dass sich die Implementierung von WhatsApp theoretisch angreifen lässt, sah die Umsetzung aber als akzeptablen Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit – die bei sichereren Implementierung nicht mehr gegeben sei.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen