Server-Schwachstelle

WhatsApp: Forscher entdecken Sicherheitslücke in Gruppenchats

Ein Forscherteam aus Bochum hat herausgefunden, dass in WhatsApp Sicherheitslücken für Gruppenchats bestehen. Facebook wiegelt ab.

WhatsApp Gruppenchat

© AlexStokker/Fotolia/WhatsApp/Montage connect

Durch eine Server-Sicherheitslücke könnten sich Fremde in Gruppenunterhaltungen einklinken.

Ein Forscherteam der Ruhr-Universität in Bochum hat eine Sicherheitslücke für Gruppenchats in WhatsApp entdeckt und diese auf der Sicherheitskonferenz Real World Crypto in Zürich vorgestellt. Das berichtet das Technik-Magazin Wired​. Seit WhatsApp vor etwa zwei Jahren die Ende-zu-Ende-Verschlüsselung eingeführt hat, ist der Messengerdienst zwar sicherer geworden, doch es gebe dennoch Sicherheitsmängel, die es ermöglichen, dass Fremde sich in eine Gruppenunterhaltung in WhatsApp einklinken könnten. Alle Nachrichten, die ab dem Zeitpunkt des Eintritts in die Gruppe verschickt werden, würden dann für den Hacker lesbar.

Das Problem liegt laut dem deutschen Forscherteam bei den Servern. Wer auch immer diese kontrolliert, kann ohne Mühen ein neues Mitglied in eine Gruppenunterhaltung schleusen - auch ohne die Zustimmung des Gruppenadministrators, der solche Aktionen normalerweise kontrolliert.

Paul Rösler von der Ruhr-Universität wird mit der Aussage zitiert: "Die Vertraulichkeit der Gruppe wird gebrochen sobald das unwillkommene Gruppenmitglied Zugriff zu all den neuen Nachrichten erhält und sie lesen kann", und weiter, "Wenn ich höre, dass es Ende-zu-Ende-Verschlüsselung sowohl für Gruppen als auch Zwei-Parteien-Unterhaltungen gibt, dann bedeutet das, dass es auch einen Schutz gegen das Hinzufügen neuer Mitglieder geben sollte. Und wenn nicht, dann ist der Wert der Verschlüsselung sehr gering."

Nicht vertrauenswürdige Server sind ein Problem

Um die Spionagemöglichkeiten in den Gruppenchats ausnutzen zu können, müsste sich ein Hacker zunächst Kontrolle über die WhatsApp-Server verschaffen. Allerdings haben etwa auch Angestellte von WhatsApp Zugang und es gibt Regierungen, die in der Vergangenheit bereits den Zugriff auf diese Server eingefordert haben. Ende-zu-Ende-Verschlüsselung bedeutet aber eigentlich, dass selbst ein Server, an dem Manipulation stattgefunden hat, Inhalte nicht preisgeben dürfte.

Der Professor für Kryptographie an der John Hopkins Universität in Baltimore, Matthew Green, erklärt: "Wenn man ein System baut, bei dem alles darauf hinausläuft, dem Server zu vertrauen, dann kann man sich eigentlich auch gleich von der ganzen Komplexität verabschieden und die Ende-zu-Ende-Verschlüsselung vergessen. Es ist einfach ein totales Versagen. Dafür gibt es keine Entschuldigung."

In den Augen der deutschen Forscher aus Bochum basiert die ganze Schwachstelle auf einem kleinen Bug. WhatsApp fordert keine einzelne Authentifizierung sobald ein neues Mitglied in eine Gruppe eingeladen wird. Aus diesem Grund kann der Server eine fremde Person in die Gruppenunterhaltung bringen und jedes Mitglied darin teilt dann Sicherheitsschlüssel mit dem Neuling, sodass dieser vollen Zugriff auf alle zukünftigen Nachrichten erhält. Ältere Nachrichten, die vor dem Gruppenbeitritt geschrieben wurden, bleiben jedoch vor dem Eindringling weiterhin verborgen.

So reagierte Facebook auf die Vorwürfe

Auch Alex Stamos, Chief Security Officer bei WhatsApp-Mutter Facebook hat den Artikel von Wired gelesen und lässt sich durch die Entdeckungen der Kryptologen nicht aus der Ruhe bringen. Auf Twitter nahm er Stellung zu dem Sicherheitsproblem.

In seinen Tweets erklärt Stamos, jedes Gruppenmitglied würde sehen, sobald ein neuer Teilnehmer der Unterhaltung betritt. Jedes Gruppenmitglied erhielte eine Benachrichtigung. Besonders heimlich passiere dieser Spionageversuch also nicht. Auch geht Stamos noch einmal darauf ein, dass ältere Nachrichten, die vor dem Beitritt geschrieben wurden, nicht einsehbar sind.

Stamos räumt ein, dass es sicherlich Wege gäbe, die Sicherheit von Gruppenchats zu verbessern, aber einfache Lösungen seien das nicht.

Es bleibt abzuwarten ob und wann WhatsApp das Sicherheitsproblem bei Gruppenunterhaltungen in Angriff nimmt oder ob es weiterhin den Mitgliedern einer Unterhaltung überlassen bleibt, genau mitzuverfolgen, wer in eine Unterhaltung eingeladen wurde und von wem diese Einladung ausging.

WhatsApp-Tipps: Die Top 5 Regeln für den Messenger

Quelle: connect
Kleiner WhatsApp-Knigge: Das sollten Sie beachten!

Mehr zum Thema

Whatsapp Verschlüsselung mit Backdoor
Messenger

Über eine Schwachstelle in Whatsapp können verschlüsselte Nachrichten abgehört werden. Facebook kannte die Backdoor, reagierte bisher jedoch nicht.
Whatsapp Störung Probleme
#whatsappdown

Nachrichten wurden nicht zugestellt, Whatsapp Web reagierte nicht: Der beliebte Messenger Whatsapp hatte am Freitag mit Problemen zu kämpfen.
Whatsapp - Warnung vor Abofallen
Fake-App im Android Play Store

Eine gefälschte Version der Messenger-App WhatsApp wurde im offiziellen App-Store von Google angeboten und millionenfach auf Smartphones geladen.
Whatsapp GIF-Suche
Messenger

Whatsapp schraubt weiter an der GIF-Funktion. Bereits das nächste Update der Android-App könnte praktische Verbesserungen bringen.
Whatsapp Update Gruppen Funktionen
Neue Version der Android- und iOS-App

Großes Update für Whatsapp: Der Messenger überarbeitet seine Gruppen und ergänzt viele neue Features. Hier die Änderungen im Überblick.
Alle Testberichte
Anker Soundcore NC A3021
Over-Ear-Kopfhörer mit Noise Cancelling
Der Over-Ear-Kopfhörer von Anker Soundcore Space NC, gibt Musik 20 Stunden lang über Bluetooth wieder. Der Praxistest fühlt dem A3021 auf den Zahn.
Shure KSE1200 Kopfhörer
Elektrostatischer In-Ear-Kopfhörer
Als elektrostatischer Kopfhörer braucht der KSE 1200 Unterstützung vom mobilen Verstärker KSA1200. Im Test beeindruckt der Klang des Gespanns.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.