Messenger

Whatsapp Verschlüsselung unsicher: Facebook duldet Backdoor

Über eine Schwachstelle in der Messenger-App Whatsapp können verschlüsselte Nachrichten abgehört werden. Facebook kannte die Backdoor, reagierte bisher jedoch nicht. Wir erklären, worum es geht. +++ Update: Whatsapp-Statement dementiert Backdoor +++

Whatsapp Verschlüsselung mit Backdoor

© Whatsapp / Screenshot/Montage: connect

Whatsapp: In der Verschlüsselung des Messengers haben Experten eine Backdoor entdeckt.

Seit April 2016 verschlüsselt die Messenger-App Whatsapp automatisch alle zwischen Nutzern versendeten Nachrichten. Doch das Sicherheitsfeature hat laut einem aktuellen Bericht des Guardian eine gravierende Schwachstelle, die es Angreifern und dem Facebook-Konzern erlaubt, Nachrichten trotz Ende-zu-Ende-Verschlüsselung abzuhören. Damit besteht in Whatsapp eine Backdoor für Behörden, Geheimdienste und Cyberkriminelle.

Wie kommt es zu der Sicherheitslücke? Eigentlich basiert die Verschlüsselung von Whatsapp auf dem als sehr sicher geltenden Signal-Protokoll, das von Open Whisper Systems entwickelt wurde. Die gleichnamige Messenger-App Signal (ehemals "Textsecure") empfahl etwa Edward Snowden​. Auch Whatsapp brüstete sich damit, dass nun nicht einmal Whatsapp oder Facebook die Nachrichten der Nutzer lesen könnte.

An einer entscheidenden Stelle jedoch geht Whatsapp anders vor als Open Whisper Systems: Die Facebook-Tochter kann für Whatsapp-Nutzer, wenn diese offline sind, neue Verschlüsselungscodes erzwingen und bereits versendete Nachrichten erneut verschicken. Dies geschieht ohne Kenntnis von Sender und Empfänger, solange diese nicht eine spezielle Benachrichtigungs-Funktion in den Whatsapp-Sicherheitseinstellungen aktivieren (siehe Bild am Artikelende). Und auch wenn diese aktiviert ist, wird lediglich der Sender im Nachhinein über den Vorgang informiert.

Diese Schwachstelle könnten Behörden als Backdoor missbrauchen und Whatsapp dazu zwingen, die Ende-zu-Ende-Verschlüsselung für ihre Anfragen auszuhebeln. Aber auch Cyberkriminelle könnten Sicherheitslücken im GSM-Netzwerk ausnutzen und sich mit falschen Mobilfunknummern bei Whatsapp einwählen, um Nachrichten abzugreifen.

Facebook weiß seit April 2016 Bescheid

Den Fokus auf das Verschlüsselungs-Problem von Whatsapp legt ein aktueller Bericht von The Guardian​. Entdeckt wurde die Schwachstelle jedoch bereits im April 2016 vom deutschen Sicherheitsforscher Tobias Boelter, der aktuell an der University of California in Berkeley tätig ist. Er hatte bereits im April 2016 in einem Blog-Post über die Whatsapp-Schwachstelle​ berichtet und diese an Facebook gemeldet.

Facebook jedoch erklärte, das Verhalten sei so korrekt. In einem späteren Statement antwortete man dem Forscher, Facebook sei sich des Problems bewusst, arbeite aber aktuell nicht daran. Im Dezember 2016 demonstrierte Boelter die Backdoor in einem Lightning-Talk auf dem Chaos Computer Congress 33c3​, bevor das Thema nun von den Medien aufgegriffen wurde

Whatsapp nennt Usability als Grund

Wozu hat Whatsapp also den Code des Signal-Protokolls angepasst? Denn die Messenger-App Signal hat die Schwachstelle nicht. Gegenüber dem Guardian erklärte ein Unternehmenssprecher von Whatsapp, man komme damit Nutzern entgegen, die häufig Smartphones und SIM-Karten wechseln würden. In vielen Teilen der Welt sei dies Gang und Gäbe und man wolle nicht, dass bei diesen Wechseln Nachrichten der Nutzer verloren gingen. Festgenagelt auf die Frage, ob auf diese Weise durch Regierungen oder dritte Parteien auf Nutzer-Nachrichten zugegriffen wurde, verwies Whatsapp nur auf Facebooks Informationsseite zu Regierungsanfragen​.

Update: Whatsapp widerspricht (13. Januar, 16:50 Uhr)

Whatsapp hat in Bezug auf den Bericht des Guardian ein Statement abgegeben​, dass Darstellungen widerspricht, in die Messenger-App sei bewusst eine Hintertüre für Behörden eingebaut worden. Laut der Gegendarstellung diene die von Sicherheitsforscher Boelter​ hervorgehobene Verhaltensweise des Programms dazu, den Verlust von Millionen von Nachrichten zu verhindern. Die optionale Sicherheitsbenachrichtigung reiche aus, um den Nutzer bei möglichen Risiken zu informieren.

Lesetipp: Whatsapp Alternativen - die 10 besten Messenger-Apps​ ​(PC Magazin)​

Whatsapp wird weltweit von über einer Milliarde Menschen genutzt. Spätestens seit dem Kauf durch Facebook steht der Messenger daher gerade bei Datenschützern unter besonderer Beobachtung. Zuletzt hatte die Weitergabe von Whatsapp-Nutzerdaten an Facebook​ für eine Welle der Kritik gesorgt.​ Mittlerweile wurde die Datenweitergabe gestoppt.

Whatsapp Verschlüsselung - Sicherheitseinstellung

© Whatsapp / Screenshot/Montage: connect

Um über Änderungen des Verschlüsselungscodes informiert zu werden, müssen Nutzer unter Einstellungen > Sicherheit eine entsprechende Option aktivieren.

WhatsApp-Tipp: Woran erkenne ich, dass ich blockiert wurde?

Quelle: WEKA MEDIA PUBLISHING GmbH
WhatsApp ermöglicht es seinen Nutzern, bestimmte Kontakte zu blockieren. Wir verraten Euch einen einfachen Trick, mit dem Ihr bei entsprechendem Verdacht herausfinden könnt, ob Ihr wirklich blockiert wurdet. In WhatsApp für Android ist die Vorgehensweise identisch.

WhatsApp-Tipp: Nachrichten zitieren

Quelle: WEKA MEDIA PUBLISHING GmbH
Die Messenger-App für Android und iOS bietet eine Zitat-Funktion. Wir zeigen, wie das Zitieren in WhatsApp funktioniert.

Mehr zum Thema

WhatsApp Gruppenchat
Server-Schwachstelle

Ein Forscherteam aus Bochum hat herausgefunden, dass in WhatsApp Sicherheitslücken für Gruppenchats bestehen. Facebook wiegelt ab.
Whatsapp GIF-Suche
Messenger

Whatsapp schraubt weiter an der GIF-Funktion. Bereits das nächste Update der Android-App könnte praktische Verbesserungen bringen.
Whatsapp Mindestalter Nutzung Update
Reaktion auf DSGVO

Whatsapp ist offenbar kurz davor, das Mindestalter für die Nutzung seiner Messenger-App anzuheben. Hintergrund ist die DSGVO der EU.
Whatsapp Update Gruppen Funktionen
Neue Version der Android- und iOS-App

Großes Update für Whatsapp: Der Messenger überarbeitet seine Gruppen und ergänzt viele neue Features. Hier die Änderungen im Überblick.
whatsapp altersbeschraenkung 2018 abfrage
Kein verbesserter Datenschutz durch DSGVO?

Bringt die DSGVO mehr Sicherheit für Nutzerdaten? Zumindest beim Datenaustausch zwischen WhatsApp und Facebook scheint dies nicht der Fall zu sein.
Alle Testberichte
Audio-Technica ATH ADX-5000
Over-Ear-Kopfhörer
Der ATH-ADX5000 von Audio-Technica ist mit seiner offenen Konstruktion eher für den Musikgenuss zu Hause gedacht. Wie klingt der Kopfhörer im Test?
Aquaris V BQ
Android-Smartphones
77,2%
Mit dem Aqua­ris V adressiert BQ preisbewusste Käufer. Was bietet das Smartphone für 250 Euro und wie gut schneidet es…
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.