Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. OK
4 Min Lesezeit 29 mal geteilt 74 Kommentare

WhatsApp: Ist ein Feature ein Bug und außerdem eine Backdoor?

Wie sicher ist WhatsApp wirklich? Ein Bericht der Zeitung The Guardian legt nahe, dass WhatsApp die Möglichkeit hat, Lauschangriffe auf User zuzulassen. Was ist dran?

Der Ursprung der Geschichte liegt im April 2016: Tobias Boelter, Sicherheits- und Kryptographie-Experte an der Universität Berkley, meldet an WhatsApp, dass er eine Sicherheitslücke gefunden habe. Dabei verwendet WhatsApp das Signal-Protokoll von Open-Whisper-Systems, das gemeinhin als sicher und vorbildlich gilt. Dieses sorgt für zuverlässige Verschlüsselung und setzt dabei auf das Ende-zu-Ende-Prinzip. Dabei kommen Schlüsselpaare zum Einsatz, wobei nur Sender und Empfänger die Nachricht lesen können. Boelter hat nun entdeckt, dass WhatsApp einen Mechanismus besitzt, mit dem die Neuerstellung dieses Schlüsselpaares erzwungen werden kann. In einem solchen Fall werden noch nicht zugestellte Nachrichten mit dem neuen Schlüssel erneut zugestellt.

Wer sich die Erklärung des Entdeckers ansehen möchte, findet auf YouTube einen Clip. Hierbei handelt es sich um einen kurzen Vortrag auf dem CCC, der im Ende Dezember 2016 stattfand:

Der Vortrag beginnt bei 48 Minuten und 14 Sekunden.

Das bedeutet aber, dass nun der Angreifer eine Möglichkeit hat, die Nachrichten zu entschlüsseln, weil er den neuen Schlüssel kennt. Betroffen sind aber nur Nachrichten, die noch nicht zugestellt wurden. Das Signal-Protokoll sieht in diesem Fall vor, dass die Nachrichten nicht automatisch neu versandt werden.

The Guardian sieht in diesem Vorgehen von WhatsApp eine mögliche Backdoor, zum Beispiel für Geheimdienste. Besonders, wenn man folgendes Szenario bedenkt: Der Angreifer könnte zunächst Versand- und Lesebestätigungen serverseitig unterdrücken und dann den Schlüsselaustausch erzwingen. Weil nun aber die WhatsApp-Clients der überwachten Chatter denken, die Nachrichten seien nie versendet worden, schicken sie die Nachrichten erneut. Und schwuppsdiwupps ist der Angreifer im Besitz der ganzen Konversation.

WhatsApp weist diese Interpretation zurück. Christoph Dernbach, Journalist der Nachrichtenagentur dpa, veröffentlichte ein Statement von WhatsApp. Demnach handele es sich weder um eine Backdoor, noch um einen Weg, Nachrichten zu entschlüsseln: Die Vorwürfe sind falsch. Vielmehr handele es sich um eine bewusste Design-Entscheidung von WhatsApp, die verhindern solle, dass Nachrichten verloren gehen. Man wehre sich mit allen Mitteln gegen Anfragen der Regierung, Hintertüren in die eigenen Produkte zu integrieren.

Also alles eine falsche Aufregung?

WhatsApp sieht hier also ein Feature. Dass das Signal-Protokoll selbst in einem solchen Fall anders handelt, fechtet WhatsApp nicht an. Der Entdecker der Sicherheitslücke hat sich unterdessen erneut zu Wort gemeldet. Er versucht sich an der Einschätzung, ob hier ein Bug, eine Backdoor oder einfach ein hilfreiches Feature am Werk ist. Ein Bug könne es vielleicht zunächst gewesen sein. Seine Meldung an WhatsApp verändere aber die Lage. Nun muss es tatsächlich eine bewusste Entscheidung sein, dieses Verfahren auch genau so in der App zu belassen.

Boelter hält das Argument der verloren gehenden Nachrichten für wenig überzeugend. Denn im normalen Alltag komme dies ja nur dann zum Tragen, wenn der Empfänger offline ist, eine Nachricht also nicht erhalten kann und zusätzlich beim erneuten Verbinden mit WhatsApp ein neues Telefon verwendet. In einem solchen Fall würde es auch reichen, dem Versender eine Auswahl zu geben, damit dieser den Neuversand manuell anstößt.

Sicherheitsexperte Jonathan Zdziarski wiederum hält die gefundene Sicherheitslücke nicht für eine Hintertür. Stattdessen sieht er darin ein zwar ernsthaftes Problem, das WhatsApp abstellen müsse, aber eine systematisch anwendbare Backdoor zum Beispiel für Geheimdienste sei dies nicht.

Später räumt er allerdings ein, dass es entscheidend darauf ankommt, ob WhatsApp die skizzierte Sicherheitslücke als Backdoor konzipiert und integriert habe. Eine Backdoor sei es aber trotzdem nicht, denn User können den Vorgang unterbinden.

Aus Sicht von Frederic Jacobs, früher unter anderem bei Open Whisper tätig, handelt es sich ebenfalls nicht um eine Hintertür, sondern vielmehr um ein Usabilityproblem, das sich vor allem um die Verifizierung der eingesetzten Schlüssel dreht.

Sicherheit bei WhatsApp heißt Datenschutz aufgeben

Um sich vor dem Sicherheitsproblem bei WhatsApp zu schützen, gibt es eine Möglichkeit, sich über einen neuen Schlüssel benachrichtigen zu lassen: Unter Einstellungen > Account > Sicherheit könnt Ihr die Information über einen neuen Schlüssel aktivieren. Wer auf Nummer sicher gehen will, schaltet Lesebestätigungen ein und achtet genau darauf, dass stets blaue Haken angezeigt werden.

Die Verschlüsselung von WhatsApp galt wegen des Signal-Protokolls bislang als sicher. Diese Einschätzung muss mit dieser Entdeckung letztlich revidiert werden: Offenbar hat WhatsApp an dem gut dokumentierten Protokoll Änderungen vorgenommen, die die Sicherheit der Chats massiv beeinträchtigen können.

Eine bewusst eingebaute Backdoor liegt hier aber eher nicht vor. Wie seht Ihr das? Schreibt Eure Einschätzung in die Kommentare!

29 mal geteilt

Top-Kommentare der Community

  • Dänu vor 2 Monaten

    Ich habe geschäftlich in einem Bereich zu tun, der zu 100% von wohl allen GHdiensten der Welt beobachtet wird.
    Wir dürfen intern und extern mit Kunden sowohl per email wie am Telefon bestimmte Wörter nicht verwenden. Geschäftsleitungsvorgabe.
    Wenn Du Privat in ein Scanning kommst weil du Treffer bestimmer Wörter hast, dann bist und bleibst du in einer DB und diese wird dann mit deinen Information ergänzt wenn man an mehr Informationen über Dich kommt. Und an das kommt man zwangsläufig. Das ist nicht Zukunft, das ist Realität. Oder was denkst du wieso die NSA mehrere grosse Rechenzentren hat.
    What the hell wird denn los sein wenn so eine Datenbank durch einen Hack öffentlich wird....... und das wird irgendwann passieren .....

  • Aries vor 2 Monaten

    Wenn ich schlechte Artikel kritisiere, muss ich auch positive Kritik abgeben! Dieser Artikel geht absolut in die richtige Richtung.

  • M. W. vor 2 Monaten

    Wie kann man bloß immer alles was dieser Dienst auch noch so ungeheures macht und treibt entschuldigen? Verstehe ich einfach nicht. Dieser Dienst ist berechnend und auch egal was noch alles ans Licht kommt, es war gewollt. Facebook hat den Laden doch nicht umsonst gekauft, natürlich wollen die alle Daten und das um jeden Preis. Aber solange die Masse es nutzt, entschuldigt man wohl alles.....Tse🙈

74 Kommentare

Neuen Kommentar schreiben:
  • Marvin vor 2 Monaten Link zum Kommentar

    Ich finde gut das WhatsApp zumindest versucht Sicherheit einzubinden...leider möchte man ja in München das ändern.

  • Als Browser "CLIQZ" nutzen und als Suchmaschine "Startpage" , schützt schon sehr stark vorm Nach-Hause-Telefonieren und Mitlesen & Speichern. Zur Not den Tor-Browser verwenden oder sonstiges VPN. Wer glaubt, etwas verbergen zu müssen oder sonstwie paranoid ist, hat so viele Möglichkeiten, sich unsichtbar zu machen..., das muss man doch nicht mehr ernsthaft diskutieren; und: natürlich ein bequemes, sicheres Linux verwenden (Mint beispielsweise - mein PC ist meine Burg!). Als Android-User ist man doch sowie schon in der Linux-Welt unterwegs... Und schützenswerte Geheimnisse laufen doch eh nicht über WA, oder?

    • C. F. vor 2 Monaten Link zum Kommentar

      CLIQZ ist nicht ganz unumstritten: https://www.kuketz-blog.de/?s=cliqz

      "Und schützenswerte Geheimnisse laufen doch eh nicht über WA, oder?" Es geht ja auch nicht primär um den Inhalt - wobei man nach den neusten Kenntnissen ja nicht sicher sein kann, ob diese nun doch mitgelesen werden können oder nicht - sondern um die Metadaten: wer wann von wo aus wie lange und wie oft mit wem kommuniziert. Auf der einen Seite Tor, VPN, Linux und co. nutzen, aber andererseits WhatsApp? Das widerspricht sich gewaltig.

      • Izzy
        • Blogger
        vor 2 Monaten Link zum Kommentar

        Mike bringt da übrigens auch ein schönes Beispiel von Dingen, die man "nicht zu verbergen" hat. Kurz zusammengefasst: Stell Dir vor, da liest einer mit. Und dieser eine ist verbandelt mit Deiner Krankenkasse. Jetzt bekommst Du eine Nachricht: "Soll ich Dir Zigaretten mitbringen?" – und antwortest etwa "Klar. Ist zwar schon die dritte Schachtel heute, aber was soll's." An sich völlig belanglos. Aber wenige Tage später weiß Deine Kasse, dass Du "Kettenraucher" bist, und erhöht Deinen Tarifbeitrag. Achja, und die Lungen-OP will sie u.a. auch nicht zahlen.

        Aber man hat ja nichts zu verbergen. Und es wird eh nichts "schützenswertes" übertragen. Mike's Fazit: Jeder hat etwas zu verbergen. Manche wissen es nur nicht…

      • Peter vor 2 Monaten Link zum Kommentar

        Dazu braucht es aber nicht WhatsApp um das rauszufinden. Es reicht schon ein engagierter Detektiv, der in Kürze auch herausfindet wieviel man raucht, welche Marke man raucht, welches Feuerzeug man benutzt und von welchem Trafikanten man seine Zigaretten her hat. Wenn man wirklich alles verbergen will, dann darf man auch gar nichts machen und tun. Es gibt immer Mittel und Wege etwas bestimmtes herauszufinden. Dazu sind. WhatsApp und co. gar nicht nötig.

      • C. F. vor 2 Monaten Link zum Kommentar

        Du lebst aber auch in Deiner eigenen Welt, oder?

        " Es gibt immer Mittel und Wege etwas bestimmtes herauszufinden. Dazu sind. WhatsApp und co. gar nicht nötig."

        Nötig nicht. Aber dafür sind sie da. Und Du nutzt diese Dienste. Und ohne, daß man irgendwelche Detekive los schickt. Es reicht einfach, von einem Programm Deine Metadaten auszuwerten. Und irgendwo sitzt vielleicht einer, der schaut sich gerade Deine Daten an und weiß mehr über Dich, als Deine Familie, all Deine Freunde, Bekannte und Arbeitskollgen zusammen. Eigentlich unheimlich, oder nicht?

      • Peter vor 2 Monaten Link zum Kommentar

        Du scheinst eher in deiner eigenen Welt zu leben. Vielleicht sitzt da einer und wertet meine Metadaten aus... vielleicht weiß einer mehr von mir als meine Familie...... Wenn. ich mir im Leben wegen einem "vielleicht" jedesmal den Kopf zerbreche, dann müsste ich bestimmt schon in die Irrenanstalt. Das finde ich unheimlich.

    • Da ich kein Terrorist bin, meine gesetzliche Krankenkasse meine chronischen Erkrankungen seit langer Zeit kennt (und bezahlt), etc., etc., habe ich aufgehört, in den Paranoia-Hype der allfälligen Netz-Kritik mit einzustimmen. Als Journalist setze ich auf Pressefreiheit und Informantenschutz, als Bürger auf die Meinungsfreiheit; da, wo es diesbezüglich kritisch wird oder werden könnte, setze ich auf Verschlüsselung und die bekannten wirksamen Techniken zur Anonymisierung; aber im Allgemeinen denke ich, dass wir derzeit keinen Grund zur Paranoia haben; und das hat nichts mit Naivität zu tun, sondern eher mit der intimen Kenntnis der Dinge. Wir leisten uns ja nicht mal eine Vorratsdatenspeicherung, die doch so nötig wäre; und dass die Krankenkassen mich zusätzlich ausforschen wollen, mag ein vorstellbares Zukunfts-Szenario sein, scheitert aber an der mangelnden Manpower (vulgo: am fehlenden qualifizierten Personal), um die Datenflut überhaupt auszuwerten. Bei dem eklatanten wie professionellen Dilettantismus der Netzpolitik der BRD und der Unfähigkeit der verwickelten Ministerien mache ich mir eigentlich nur Sorgen um meine mickrige DSL-Bandbreite. Dem Apparat, vor dem man theoretisch Angst haben könnte, fehlt es schlicht an Sachverstand - und letztendlich an Hirn! Man vergegenwärtige sich schlicht den Fakt, dass es viele Beamte gibt, die nicht mit Linux und Open Source statt Windows arbeiten wollen, weil sie dann nicht mehr den gewohnten Spielkram verwenden können, sondern effektiv arbeiten müssten; den meisten fällt es unerträglich schwer, auf diese Linie einzuschwenken... Und davor sollen wir Angst haben?! Also wirklich! Die Leute vom Verfassungsschutz (wer glaubt, dass die die Verfassung schützen, glaubt auch, dass Zitronenfalter Zitronen falten), vom BND und BKA sind doch hauptsächlich (wie der Großteil der Verwaltungsbeamten) mit sich selbst beschäftigt; ich kenne die Sorte. Nee, da ist mir nicht bange! Nicht in dieser unserer Demokratie... Die ganze Diskussion, den Hype um die Auslesung und Verwendung irgendwelcher Metadaten des Otto-Normal-Users halte ich für den bekannten "Sturm im Wasserglas" - also "Viel Lärm um nichts"! Da gibt es andere Themen (Überbevölkerung, Hunger, Klimawandel etc.), die ein großes Engagement eher verdient hätten! Das Ganze hat doch den Geruch eines Stellvertreter-Krieges der Eitelkeiten. Und das ist schlicht meine langsam gewachsene Überzeugung - und Meinung...

  • Sehr guter Artikel Apit, Danke und weiter so! 🖖

    Schwer zu sagen ob es eine Feature, Bug oder Backdoor ist?

    Ich bin mir noch immer ziemlich sicher, dass WA und Facebook sowieso alle Daten lesen können und immer ganz scheinheilig von Datenschutz reden...

    Daher denke ich es ist eher ein Feature, gewollt um dieses auf den WA Servern zu verwenden 😣😒🤐

  • C. F. vor 2 Monaten Link zum Kommentar

    "WhatsApp ist eine Blackbox. Letztendlich steht Aussage gegen Aussage. Die einen nennen es eine »Design-Entscheidung«, die anderen nennen es »Backdoor«. Am Ende bleiben wir alle ratlos, denn der Quelltext von WhatsApp lässt sich nicht überprüfen. Wenn es sich tatsächlich um eine Design-Entscheidung handelt, dann wird Sicherheit ganz klar der Bequemlichkeit geopfert – und das ist wenig verwunderlich, wenn wir die Geschichte von WhatsApp genauer betrachten. Bequemlichkeit und eine einfache Bedienung stand schon immer im Fokus des Dienstes.

    Es bleibt also vermutlich alles beim Alten: WhatsApp-Nutzer werden dem Dienst weiterhin treu bleiben, während sicherheits- und datenschutzbewusste Nutzer schon längst das Weite gesucht haben. Am Ende muss man nüchtern feststellen: Die Bequemlichkeit siegt über den Wunsch nach Privatsphäre."

    https://www.kuketz-blog.de/kommentar-whatsapp-ist-eine-blackbox/#more-465019

  • Wer WhatsApp benutzt ist selber schuld...Selten einen so krassen Akkufresser gesehen, oh doch warte, Facebook

  • Aries vor 2 Monaten Link zum Kommentar

    Wenn ich schlechte Artikel kritisiere, muss ich auch positive Kritik abgeben! Dieser Artikel geht absolut in die richtige Richtung.

  • Hier gehts ja um Werte, Prinzipien wie eine freie Nation (weltweit) gehandhabt wird. Es geht um Gefahren die Profile in sich bergen. Und die sind durchaus real. Siehe Syrien, Türkei, China usw.
    Wer garantiert uns dass unsere Profile sicher sind vor Missbrauch ? Das kann niemand !
    Warum beschäftigt ihr euch nicht mal mit dem Thema, statt anderen den Aluhut aufzusetzen.

    Und natürlich betrifft es sogut wie das Ganze Netz. Aber ich kann stellenweise eingreifen. Gerade bei privater Kommunikation. Oder redet man nur belangloses blablubb auf WA?
    Es gibt keine belanglosen Daten.

    Niemand will irgendwen an den Pranger stellen. Es geht um's nachdenken wie wir in Zukunft damit umgehen. Leider driftet es zu oft in einen verbalen "Schlagabtausch" ab.

    • Peter vor 2 Monaten Link zum Kommentar

      Gefahren gibt es im Alltag so viele, auch haarsträubende Gedanken kommen einen da unter. Wie zb. das ein Meteorit in unser Haus einschlägt während wir schlafen. Oder das uns beim Spaziergang ein Blumentopf aus dem 10 Stock eines Hauses auf den Kopf fällt. Oder wenn wir ein öffentliches Gebäude betreten das uns da eine ansteckende Krankheit erwischt wenn wir Türklinken anfassen. Natürlich können wir da auch eingreifen und diese Orte einfach meiden. Sind wir abends sicher um nicht überfallen zu werden?
      WhatsApp ist und bleibt nichts anderes als eine Kommunikationsplattform. Das Behörden darauf zugreifen dürfen kann ich nur begrüßen. Wie schon erwähnt sind Terrorgefahren ein sehr aktuelles Thema und das sollte mit allen Mitteln bekämpft werden. Und wer sich ein wenig mit Polizeiarbeit beschäftigt, der weiß das diese bestimmt nicht bei anständigen Bürgern herumschnüffeln, da ihnen sowieso Personal und Zeit fehlt.
      Wer immer noch denkt im Netz ist der schwarze Mann hinter einem her und will böses der sollte wirklich dem Internet komplett den Rücken kehren, kein Smartphone oder Handy benutzen und sich am besten durch ein Zeugenschutzprogramm eine andere Identität geben lassen, da viele Daten ja schon im Netz sind.

      • Du kannst das natürlich handhaben wie du möchtest.
        Jeder hat seine Einstellung dazu.
        Aber man könnte vieles verbessern.

      • Peter vor 2 Monaten Link zum Kommentar

        Ich denke WhatsApp, also die Betreiber von WhatsApp wollen ja auch das ihre Kunden bleiben. Es kommen auch funktionell immer mehr Verbesserungen. In der Theorie haben so viele Dinge im Leben Nachteile, aber wichtig ist doch das diese Nachteile für uns keinen Einschnitt im Leben haben.

      • C. F. vor 2 Monaten Link zum Kommentar

        Natürlich kommen immer wieder irgendwelche funktionellen Neuerungen oder sinnlose Kindergadgets dazu. Man muss ja seine "Kunden" irgendwie bei der Stange halten. Mit Sicherheit und Privatsphäre klappt's bei WhatsApp wie wir dauernd lesen können eben nicht. Also muss man dieses Manko irgendwie übertünchen. Aber eines ist und bleibt sicher: das Internet vergisst nie. Egal was Du schreibst oder an Bildern verschickst, es bleibt irgendwo erhalten. Und einer (oder eher gesagt mehrere) dieser Orte sind die Server von WhatsApp und facebook. Und noch etwas ist sicher: WhatsApp und facebook sind deshalb "umsonst", weil Du, der Nutzer, das Produkt bist, welches verkauft wird. Vielmehr Deine Daten. Ich glaube, jedem Datenschützer ist es Jacke wie Hose, was Du mit Deinen eigenen Daten machst. Das Problem und der Kern der Sache ist, dass Du Daten dritter weiter gibst. Private Daten. Vielleicht auch sensible Daten. Ohne die Besitzer dieser Daten um deren Erlaubnis gefragt zu haben. Und das machst Du, in dem Du WhatsApp weiterhin nutzt. Findest Du das in Ordnung?

      • Peter vor 2 Monaten Link zum Kommentar

        Das das Internet nie was vergisst, diesen Satz kwnn ich schon seit den späten 90er Jahren. Das ist mir schon bewusst, aber wissen das auch alle anderen? OK, WhatsApp und Facebook geben Daten Dritter weiter. Ist aif jeden Fall keine gute Sache. Aber, jetzt kommt das große aber : Wenn diese Daten zu Werbezwecken und Statistikerhebung genutzt werden, dann schadet das keinen, außer die die es aus Prinzip nicht wollen. Werbung verfolgt uns täglich überall. Sei es im Radio und Fernsehen, auf der Straße und in öffentlichen Verkehrsmitteln.. Beim Zeitung lesen, in Geschäften und natürlich im Internet.
        Das nächste ist, das wenn jemand wirklich so gegen WhatsApp und Facebook ist, es selbst natürlich nicht verwendet, was macht er dann das seine Daten trotzdem nicht irgendwie weiter gegeben werden? Dann, was ist mit Google? Google ist ja auch als Datenkralle verschriehen, aber jeder Android Nutzer hat damit zu zun. Heutzutage ist technisch so viel möglich und es gibt wirklich sehr gute Hacker die kommen an die Daten so oder so. Selbst ein Detektiv hat so ein Knowhow das er innerhalb von wenigen Wochen dein komplettes Bewegungsprofil samt Kontaktliste und sämtlichen persönlichen Daten kennt.

      • C. F. vor 2 Monaten Link zum Kommentar

        "Wenn diese Daten zu Werbezwecken und Statistikerhebung genutzt werden, dann schadet das keinen, außer die die es aus Prinzip nicht wollen."

        Genau. Und so verhält es sich mit all Deinen Kontkten in Deinem Telefonbuch, wenn Du WhatsApp benutzt. Hast Du alle gefragt, ob die das auch wollen? Steht ja so in den AGB. Wenn nicht, warum benutzt Du dann WhatsApp noch?

        Schau Dir das doch mal an: https://www.youtube.com/watch?v=2x7ugdEBL5I

Zeige alle Kommentare

Diese Website verwendet Cookies, um Ihnen ein besseres Nutzungserlebnis bieten zu können. Mehr dazu

Alles klar!