Messenger

Whatsapp Verschlüsselung unsicher: Facebook duldet Backdoor

Über eine Schwachstelle in der Messenger-App Whatsapp können verschlüsselte Nachrichten abgehört werden. Facebook kannte die Backdoor, reagierte bisher jedoch nicht. Wir erklären, worum es geht. +++ Update: Whatsapp-Statement dementiert Backdoor +++

Whatsapp Verschlüsselung mit Backdoor

© Whatsapp / Screenshot/Montage: connect

Whatsapp: In der Verschlüsselung des Messengers haben Experten eine Backdoor entdeckt.

Seit April 2016 verschlüsselt die Messenger-App Whatsapp automatisch alle zwischen Nutzern versendeten Nachrichten. Doch das Sicherheitsfeature hat laut einem aktuellen Bericht des Guardian eine gravierende Schwachstelle, die es Angreifern und dem Facebook-Konzern erlaubt, Nachrichten trotz Ende-zu-Ende-Verschlüsselung abzuhören. Damit besteht in Whatsapp eine Backdoor für Behörden, Geheimdienste und Cyberkriminelle.

Wie kommt es zu der Sicherheitslücke? Eigentlich basiert die Verschlüsselung von Whatsapp auf dem als sehr sicher geltenden Signal-Protokoll, das von Open Whisper Systems entwickelt wurde. Die gleichnamige Messenger-App Signal (ehemals "Textsecure") empfahl etwa Edward Snowden​. Auch Whatsapp brüstete sich damit, dass nun nicht einmal Whatsapp oder Facebook die Nachrichten der Nutzer lesen könnte.

An einer entscheidenden Stelle jedoch geht Whatsapp anders vor als Open Whisper Systems: Die Facebook-Tochter kann für Whatsapp-Nutzer, wenn diese offline sind, neue Verschlüsselungscodes erzwingen und bereits versendete Nachrichten erneut verschicken. Dies geschieht ohne Kenntnis von Sender und Empfänger, solange diese nicht eine spezielle Benachrichtigungs-Funktion in den Whatsapp-Sicherheitseinstellungen aktivieren (siehe Bild am Artikelende). Und auch wenn diese aktiviert ist, wird lediglich der Sender im Nachhinein über den Vorgang informiert.

Diese Schwachstelle könnten Behörden als Backdoor missbrauchen und Whatsapp dazu zwingen, die Ende-zu-Ende-Verschlüsselung für ihre Anfragen auszuhebeln. Aber auch Cyberkriminelle könnten Sicherheitslücken im GSM-Netzwerk ausnutzen und sich mit falschen Mobilfunknummern bei Whatsapp einwählen, um Nachrichten abzugreifen.

Facebook weiß seit April 2016 Bescheid

Den Fokus auf das Verschlüsselungs-Problem von Whatsapp legt ein aktueller Bericht von The Guardian​. Entdeckt wurde die Schwachstelle jedoch bereits im April 2016 vom deutschen Sicherheitsforscher Tobias Boelter, der aktuell an der University of California in Berkeley tätig ist. Er hatte bereits im April 2016 in einem Blog-Post über die Whatsapp-Schwachstelle​ berichtet und diese an Facebook gemeldet.

Facebook jedoch erklärte, das Verhalten sei so korrekt. In einem späteren Statement antwortete man dem Forscher, Facebook sei sich des Problems bewusst, arbeite aber aktuell nicht daran. Im Dezember 2016 demonstrierte Boelter die Backdoor in einem Lightning-Talk auf dem Chaos Computer Congress 33c3​, bevor das Thema nun von den Medien aufgegriffen wurde

Whatsapp nennt Usability als Grund

Wozu hat Whatsapp also den Code des Signal-Protokolls angepasst? Denn die Messenger-App Signal hat die Schwachstelle nicht. Gegenüber dem Guardian erklärte ein Unternehmenssprecher von Whatsapp, man komme damit Nutzern entgegen, die häufig Smartphones und SIM-Karten wechseln würden. In vielen Teilen der Welt sei dies Gang und Gäbe und man wolle nicht, dass bei diesen Wechseln Nachrichten der Nutzer verloren gingen. Festgenagelt auf die Frage, ob auf diese Weise durch Regierungen oder dritte Parteien auf Nutzer-Nachrichten zugegriffen wurde, verwies Whatsapp nur auf Facebooks Informationsseite zu Regierungsanfragen​.

Update: Whatsapp widerspricht (13. Januar, 16:50 Uhr)

Whatsapp hat in Bezug auf den Bericht des Guardian ein Statement abgegeben​, dass Darstellungen widerspricht, in die Messenger-App sei bewusst eine Hintertüre für Behörden eingebaut worden. Laut der Gegendarstellung diene die von Sicherheitsforscher Boelter​ hervorgehobene Verhaltensweise des Programms dazu, den Verlust von Millionen von Nachrichten zu verhindern. Die optionale Sicherheitsbenachrichtigung reiche aus, um den Nutzer bei möglichen Risiken zu informieren.

Lesetipp: Whatsapp Alternativen - die 10 besten Messenger-Apps​ ​(PC Magazin)​

Whatsapp wird weltweit von über einer Milliarde Menschen genutzt. Spätestens seit dem Kauf durch Facebook steht der Messenger daher gerade bei Datenschützern unter besonderer Beobachtung. Zuletzt hatte die Weitergabe von Whatsapp-Nutzerdaten an Facebook​ für eine Welle der Kritik gesorgt.​ Mittlerweile wurde die Datenweitergabe gestoppt.

Whatsapp Verschlüsselung - Sicherheitseinstellung

© Whatsapp / Screenshot/Montage: connect

Um über Änderungen des Verschlüsselungscodes informiert zu werden, müssen Nutzer unter Einstellungen > Sicherheit eine entsprechende Option aktivieren.

WhatsApp-Tipp: Woran erkenne ich, dass ich blockiert wurde?

Quelle: WEKA MEDIA PUBLISHING GmbH
WhatsApp ermöglicht es seinen Nutzern, bestimmte Kontakte zu blockieren. Wir verraten Euch einen einfachen Trick, mit dem Ihr bei entsprechendem Verdacht herausfinden könnt, ob Ihr wirklich blockiert wurdet. In WhatsApp für Android ist die Vorgehensweise identisch.

WhatsApp-Tipp: Nachrichten zitieren

Quelle: WEKA MEDIA PUBLISHING GmbH
Die Messenger-App für Android und iOS bietet eine Zitat-Funktion. Wir zeigen, wie das Zitieren in WhatsApp funktioniert.

Mehr zum Thema

WhatsApp
Messenger-App

Nicht alle Daten sind durch die WhatsApp-Verschlüsselung sicher. Wir erklären, welche Informationen unverschlüsselt bleiben.
Whatsapp Logo
Warnung vor gefakter Android-App

Vorsicht! Eine angebliche Premium-Version verspricht Zusatzfunktionen für WhatsApp, enthält aber Schadsoftware.
Whatsapp Logo
Vorsicht Fake-App

Eine Kettenmail macht die Runde, die vor WhatsApp Gold warnt. Zwar ist nicht sicher, ob die FakeApp erneut aufgetaucht ist, dennoch ist Vorsicht…
Whatsapp Facebook Telefonnummer
Nutzungsbedingungen geändert

Neue Nutzungsbedingungen bei Whatsapp: Der Messenger wird mehr Daten an Facebook weitergeben - darunter die Handynummer.
Whatsapp Logo
Videoanruf-Falle

Eine gefälschte Nachricht in WhatsApp birgt die Gefahr, sich einen Virus aufs Handy zu laden. Das müssen Nutzer beachten!
Alle Testberichte
Toyota C-HR
Navigation und Infotainment
Mit dem C-HR bringt Toyota ein cool designtes Crossover-Modell auf den Markt. Wir haben das Auto samt Navigations- und Infotainment-System getestet.
Dual CS-550
Plattenspieler
Mit dem CS 550 vertreibt der Traditionshersteller Dual einen soliden Plattenspieler. Wie er klingt, lesen Sie im Test.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.