Es ist schon eine Weile her, da führte der meistgenutzte Messenger-Dienst von WhatsApp die Ende-zu-Ende Verschlüsselung ein. Doch trotz dieser vermeintlich sicheren Verschlüsselung nahm die Kritik nicht ab. Nicht zuletzt kritisierten die Datenschützer den angekündigten Datenaustausch zwischen WhatsApp und Facebook. Mutmaßlich würde das größte Soziale Netzwerk der Welt die Kontakte und Daten von WhatsApp Nutzern dadurch erhalten und mit bestehenden Datensätzen abgleichen.
Vor wenigen Tagen erschien die Meldung, dass der Sicherheitsforscher Tobias Boelter am Rande des 3C33 eine Backdoor in WhatsApp erkannt haben wolle.
Die Verschlüsselungstechnik
WhatsApp greift auf das sogenannte Public-Key-Verfahren in Gestalt des Signal-Protokolls von Open Whisper Systems zurück. Um Nachrichten Ende-zu-Ende zu verschlüsseln, werden zwei Schlüssel benötigt. Ein sog. Public Key, der auf den Server des Anbieters liegt und ein persönlicher, der auf dem Gerät des Nutzers liegt. Würde es gelingen, den Public Key auszutauschen, könnten die übermittelten Nachrichten der Nutzer entschlüsselt werden. Dies würde bedeuten, dass der Anbieter (in diesem Fall WhatsApp/Facebook) oder Angreifer den Chatverlauf mitlesen könnten.
Wenn der Gesprächspartner jedoch seinen Schlüssel ändert, beispielsweise durch den Wechsel des Smartphones, wird die noch nicht empfangene Nachricht mit dem neuen Key erneut versendet, ohne dass der Absender dies erfährt. Die Benachrichtigung, dass der Gesprächspartner seinen Schlüssel geändert hat, ist standartmäßig deaktiviert, lässt sich aber unter den Einstellungen („Account“ – „Sicherheit“ – „Sicherheits-Benachrichtigungen anzeigen“) aktivieren.
Diese Schwachstelle im System könnte Angriffe durch Dritter erleichtern. Wohlbemerkt: Dies betrifft nur solche Nachrichten, die nach Austausch des Schlüssels versendet wurden, während hingegen die Daten aus der vorherigen Konversation weiterhin am alten Schlüssel hängen und daher nicht durch den Besitzers des neuen Schlüssels decodiert werden können.
Kein Problem, sondern ein Feature
Mit Moxie Marlinspike trat nun einer der Entwickler der verwendeten Verschlüsselungstechnik von Signal an die Medien heran und gab eine Stellungnahme zu den Vorwürfen ab. Er korrigierte die Gerüchte über die angeblich implementierte Hintertür von WhatsApp und zeigte sich darüber hinaus sehr erschüttert über die fehlerhafte Berichterstattung. Diese angesprochene Funktion sei demnach bekannt, eine bewusst Design-Entscheidung der Programmierer gewesen und diene der Benutzerfreundlichkeit. So könne die Kommunikation der Nutzer lückenlos fortgeführt werden, selbst wenn der Beteiligte die App neu installiert oder sich ein neues Handy kauft.
Ferner bemerkte Marlinspike, dass es nicht möglich ist, bereits übermittelte Daten an einen neuen Schlüssel zu knüpfen und deswegen die vergangene Konversation nicht ausgelesen werden kann. Und auch andere Experten halten es für unwahrscheinlich, dass WhatsApp absichtlich eine Backdoor implementiert habe, sondern die Übertragung mit verändertem Key die Nutzung vereinfachen solle.
28. Januar 2017 @ 17:24
Der Begriff „Backdoor“ ist in der Tat unglücklich gewählt, betrachtet man es nüchtern, ist es aber genau das. Der Betreiber kann die Verschlüsselung aushebeln, womit sie unterm Strich wertlos ist.
Es gibt Dinge, die kann man nicht zu sehr vereinfachen. Verschlüsselung gehört dazu.